치명적인 피해를 일으킨 러시아발 솔라윈즈 감시 공격 발견 사실은 러시아 해외 정보국 소속 해커 집단의 교묘해진 공급망 정보 탈취 기법에 주목하는 계기가 되었다. 그러나 이제는 솔라윈즈 스파이 행위와 그 파장을 통해 러시아 정부에 소속된 또 다른 해커 집단이 사실상 미국과 전 세계 인터넷 전체에 존재하는 모든 취약한 네트워크에서 정보를 탈취할 수 있는 기본적이면서도 효과적인 수법을 이용해, 평소와 같은 일상적인 해킹 행위를 지속해서 시행한 사실이 분명하게 드러났다.
7월 1일(현지 시각), 미국 국가안전보장국(NSA)과 연방수사국(FBI), 국토안보부 산하 사이버보안 및 기반시설 보안국(CISA), 영국 국가 사이버보안 센터(NCSC)가 세계 전역에서 무작위 패스워드 조합 시도 공격으로 해커의 침입이 이루어진 사례 수백 건을 경고했다. 모두 팬시베어(Fancy Bear)나 APT28 등의 명칭으로도 알려진 러시아 GRU 군대 정보국의 26165부대의 소행으로 알려졌다. 26165 팀의 해킹은 정부 기관과 군사 기관, 방위산업체, 정당, 컨설팅 기업, 물류 기업, 에너지 기업, 대학 기관, 로펌, 언론 기업 등 광범위한 기관을 겨냥했다. 다시 말해, 사실상 인터넷에서 관심을 이끌 만한 모든 부문을 대상으로 공격이 이루어졌다는 뜻이다.
이번 해킹 수법은 사용자 이름과 패스워드를 대량으로 조합해, 초기 접근 권한을 얻는 등 매우 기초적인 방식으로 이루어졌다. 그러나 사이버보안 기관 모두 팬시베어 공격이 여러 기관의 보안을 침입하고는 접근 권한을 손에 넣게 된 기관의 이메일을 탈취했다고 밝혔다. 그러나 이것이 전부가 아니다. NSA 사이버보안 국장인 롭 조이스(Rob Joyce)는 합동 경고와 함께 공개된 공식 성명에 “데이터 수집과 탈취, 신원 정보 접근 등의 목적으로 오랫동안 이어진 무작위 패스워드 조합 공격이 지금도 전 세계에 걸쳐 진행될 확률이 높다”라고 작성했다.
“미국은 어떤 수단을 동원해도 러시아의 사이버 감시 행위를 멈출 수 없을 것이다.”
존 헐퀴스트, 맨디언트
팬시베어는 솔라윈즈 공격을 개시한 SVR 정보기관 산하 해커 조직보다 오래전부터 매우 심각한 피해를 일으킨 해킹 공격을 여러 차례 개시했다. 팬시베어는 민주당 전국 위원회와 2016년 힐러리 클린턴 전 국무장관 대선 유세운동부터 올림픽 국제 조직 위원회 및 전 세계 도핑 방지 기관 등을 겨냥한 해킹과 정보 유출 공격의 배후에 있었다. 그러나 오래전부터 GRU의 사이버 범죄를 추적해온 보안 기업 맨디언트(Mandiant) 부사장 존 헐퀴스트(John Hultquist)는 팬시베어의 최근 공격이 기존 수법보다 훨씬 더 교묘한 수법을 채택하지 않은 이유를 이해하기 어렵다고 밝혔다.
헐퀴스트 부사장은 “팬시베어가 이번에 개시한 것과 같은 보안 침입 행위가 무조건 일반적으로 GRU를 생각할 때 떠올리는 기만행위를 예고하는 것은 아니다”라고 언급했다. 그러나 이는 이번 해킹 공격이 중요하지 않다는 뜻은 아니다. 헐퀴스트 부사장은 합동 경고에서 언급한 IP 주소와 해커가 악용한 멀웨어 등을 성공적인 보안 침입 작전에 문제를 더한다. 그는 “이번 공격은 GRU가 여전히 활동하면서 사이버 범죄 행위를 개시한다는 사실을 상기시켜주며, 정치인과 외교관, 방위산업체 등 기존의 사이버 보안 공격 표적에 더 집중한다는 사실이 확인됐다”라고 설명했다.
[사진=Freepik]
이번 해킹에서 에너지 부문 기관이 공격 대상에 포함된 사실은 더 큰 경각심을 준다. 특히, GRU 소속 또 다른 해킹 집단인 샌드웜(Sandworm)이 지금까지 유일하게 실제 정전을 일으키고, 2015년과 2016년, 우크라이나 전력 시설에 큰 피해를 준 사실을 고려하면 크게 경계해야 한다. 2020년 초, 미국 에너지부는 해커 조직이 2019년 크리스마스 직전, 미국 에너지 기관을 공격 표적으로 삼았다는 사실을 별도로 경고했다. 2020년, 와이어드가 처음 보도한 바와 같이 당시 에너지부의 경고 내용에는 해커 조직의 IP 주소가 GRU의 26165부대의 IP 주소와 일치하다는 사실이 포함됐다. 헐퀴스트 부사장은 “GRU가 에너지 기관을 대상으로 개시한 공격을 살펴볼 때마다 항상 그 피해를 우려한다”라고 밝혔다. 그런데도 헐퀴스트 부사장은 이번 단순한 감시 행위를 단순한 공격 동기라고 본다. 그는 “러시아가 원유 수출에 크게 의존하는 국가임을 기억하는 것이 중요하다. 따라서 러시아는 에너지 부문에 매우 큰 관심을 두고 있다. 이는 러시아 정보기관이 해외의 에너지 부문 관련 정보 수집 목적으로 공격을 개시하는 부분적인 이유이다”라고 말했다.
보안 기업 기가몬(Gigamon)의 정보팀 총괄이자 에너지부와 GRU 간의 보안 위협을 처음 감지한 조 슬로윅(Joe Slowik)의 설명에 따르면, GRU의 무작위 패스워드 조합 해킹 공격은 특정한 개인이나 기관을 겨냥한 것보다는 공격 대상을 찾기 위한 기회일 수도 있다. 슬로윅 총괄은 GRU 해커 조직이 단순히 접근할 수 있는 모든 네트워크에 임의로 접근 권한을 얻은 뒤, 러시아 정부 산하 다른 해커 조직에 도청이나 네트워크 손상과 같은 더 구체적인 공격을 개시하기 위해 정보를 전달할 수 있다고 추측한다. 슬로윅 총괄은 “팬시베어는 ‘먼저 보안 침입 행위를 개시해, 사이버 공격을 개시할 만한 기관에 접근 지점을 다른 조직에 넘기는 방식’으로 공격을 개시한다. 그리고, 팬시베어는 어느 기관이든 네트워크 접근 지점 발견 여부를 기반으로 더 치밀한 보안 침입 공격을 개시하는 다른 러시아 정부 산하 조직에 접근 지점을 찾는 데 실패하거나 혹은 접근 권한을 건넨다”라고 설명했다.
그러나 슬로윅 총괄은 마구잡이로 이루어지는 공격은 GRU가 접근 시도를 하는 기관의 범위를 확대하고자 한다는 사실을 시사한다고 말한다. 예를 들어, 미국과 영국의 합동 경고문은 해커 조직이 서버 가상화 및 자동화 툴인 쿠버네티스(Kubernetes)를 악용한 사실에 주목한다. 쿠버네티스는 더 효율적으로 가상 기계를 작동해 네트워크 침입 시도에 사용하는 새로운 수법으로 등장했다. 또, 러시아 정부의 지원을 받는 해커 조직과 사이버 범죄 조직 해커 모두 똑같이 간단한 수법을 고수해, GRU의 해킹은 어느 정도 막을 수 있다. 만약, 미국과 영국 정부 기관이 GRU 관련 경고문을 발표하지 않았다면, 네트워크 운영 기관이 조사 행위를 다른 해킹 시도와 구분할 증거가 거의 없었을 것이다.
조 바이든 대통령과 블라디미르 푸틴 대통령의 제네바 정상회담을 계기로 솔라윈즈 사태에 대한 갈등이 부분적으로 완화됐으나 이번 소식은 미국의 외교 노력에 타격을 준다. 어찌 됐든 바이든 대통령은 푸틴 대통령에게 에너지 부문을 포함해 해킹이 발생해서는 안 되는 미국의 주요 기반시설 16곳을 알렸다.
그러나 오히려 바이든 대통령이 말한 주요 기반시설 영역 16곳이 특히 GRU의 무작위 패스워드 조합 시도로 네트워크가 마비되거나 미러 정상회담 이후 또 다른 공격이 발생했는지는 더 지켜보아야 한다. 이를 떠나 헐퀴스트 부사장은 미러 정상회담을 아무리 진행해도 혹은 그 외 외교적 수단을 이용해도 러시아와 미국의 쫓고 쫓기는 스파이 행위를 멈출 수 없을 것이라고 주장한다.
헐퀴스트 부사장은 “러시아의 사이버 공격 행위를 중단했다고 생각하는가? 아니다. 미국은 어떤 수단을 동원해도 러시아의 사이버 감시 행위를 멈출 수 없을 것이다. 러시아가 사이버 공격을 멈추는 일은 없을 것이다. 우리는 러시아가 계속 정보를 수집하고, 이 과정에 항상 사이버 공격이 포함되는 세계에 살고 있다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202107/3241_4304_5340.jpg)
뉴스레터 신청