본문 바로가기 주메뉴 바로가기 검색 바로가기
이란 겨냥한 해킹, 물리적 세계로 등장
상태바
이란 겨냥한 해킹, 물리적 세계로 등장
해커 조직이 이란의 기차와 주유소, 항공 기반 시설 등을 공격 표적으로 삼았다. 이스라엘과의 사이버 갈등이 심화되면서 발생한 일이다.
By MATT BURGESS, WIRED US

2020년 4월, 해커 세력이 이스라엘 수도 펌핑 시설에 침입하고는 장비를 손상시켰다. 각각의 펌프 모두 제 기능을 하지 못해, 시설 관계자는 수백만 명을 대상으로 한 수도 공급 흐름을 서둘러 유지하기 시작했다. 당시 이란과 관련이 있는 것으로 밝혀진 해킹 이후 이스라엘 관료는 피해 수준이 훨씬 더 심각하다고 밝혔다. 염소 수치를 높이면서 수도 공급에 독을 풀기 위한 의도로 공격을 개시한 것이라는 의구심을 제기했다. 그리고 수 주 후, 해커 세력이 이란 항구를 공격했다. 이스라엘 수도 시설 공격 보복 조치임이 분명했다.

이스라엘 사이버 보안 기업 체크포인트(Check Point)의 위협 정보 및 연구국장 로템 핀켈슈타인(Lotem Finkelstein)은 “이란 항구 공격은 국가 차원에서 사이버 기관을 통해 사이버 공격에 즉각 대응한 첫 번째 사례이다”라고 말했다. 핀켈슈타인 국장은 당시 공격이 수백만 명의 생활에 심각한 피해를 준 이란 기반 시설을 겨냥한 새로운 일련의 공격 시작을 나타낸다고 덧붙였다.

수개월 후, 이란을 겨냥한 사이버 공격 수준이 고조되었다. 연료 공급 체계와 철도 제어 시설, 이란 항공사 등이 사이버 공격을 당했다. 그와 동시에 해커 세력은 이란의 성 소수자 100만 명을 위한 데이팅 앱 사용자 개인 정보를 공개하고는 해당 앱에 가입한 이스라엘 군인의 상세 정보를 유포했다. 물리적 피해와 파괴를 포함한 이란과 이스라엘의 공격은 수십 년간 이어진 양국의 적대적 관계가 행동으로 이어진 가장 최근의 사례이다. 이제 이란과 이스라엘은 디지털 감시와 파괴라는 암울한 행동을 펼치는 데 나아가고자 한다.

양국의 계속되는 공격은 대중의 일상에서 중요한 부분의 기반이 되는 기반 시설이 국가 후원 해커 세력의 논의 대상이 되어서는 안 된다고 주장하는 전문가의 우려를 자아낸다. 미국 사이버 인프라안보국(CISA)은 에너지 부문과 헬스케어, 댐, 식품을 포함한 16가지 중요 부문을 국가 주도 해커 세력의 공격 범위에 포함되어서는 안 된다고 발표했다. 이스라엘의 사이버 공격은 이란이 세계 강대국과 핵무기 협상을 재개하는 와중에 발생했다.
 
[사진=Unsplash]
[사진=Unsplash]

국책연구소인 유럽 외교 관계 위원회(European Council on Foreign Relation) 객원 펠로이자 지난 수 개월간 중동 국가 간 중대한 외교 문제를 추가 연구한 에스판디야르 바트망헤리디(Esfandyar Batmanghelidj)는 “다양한 해커 세력이 중동 지역의 새로운 권력 균형 유지 구축을 위한 능력을 입증하고자 하는 사례인 듯하다”라는 견해를 전했다.

이란 기반 시설을 겨냥한 중대한 해킹 사건은 공격 표적을 광범위하게 넓히면서 국가 주도 해커 세력과 개인 해커 세력 모두 일으켰다. 그러나 국가 주도 해커 세력과 개인 해커 세력 모두 한 가지 공통점이 있다. 바로 평범한 시민과 상대국가의 기업에 혼란과 공포를 유발했다는 사실이다.

2021년 7월 9일과 10일, 해커 세력이 이란 기사 서버를 마비시키면서 디지털 게시판에 가짜 지연 문제를 게재했다. 이란 철도 표지판에는 “사이버 공격 때문에 장시간 지연 발생. 추가 정보: 64411”이라는 안내 문구가 등장했다. 또, 이란 최고 지도자 아야톨라 알리 카메네이(Ayatollah Ali Khamenei)의 사무실로 연결할 수 있는 연락처가 함께 공개됐다.

체크포인트 분석 결과, 이후 뉴욕 위협 정보 기업 인터제르(Intezer)도 이란 철도 공격이 힌두교 전장의 신의 이름을 딴 ‘인드라(Indra)’라는 이름으로 활동하는 해커 조직과 관련이 있다는 사실을 확인했다. 인드라는 시리아를 겨냥한 공격도 개시했으며, 분석 결과에 따르면 국가 조직과는 관련이 있는 단체가 아니다. 체크포인트는 널리 알려지지 않은 해커 조직인 인드라가 이란 정권과 협력하는 기관을 집중 표적으로 삼는 것으로 확인됐으며, 환전소와 시리아 민간 항공사도 공격했으며, 2019년과 2020년에는 시리아 석유 기업에 공격 위협을 가한 것으로 드러났다.

2021년 10월, 사이버 공격 발생 후 주유소 4,300곳이 마비된 후, 사무국 번호가 일부 주유소에도 일시적으로 등장했다. 정부 보조금 지원 석유를 구매할 수 있는 정부 발행 스마트카드를 지원하는 주유소 수천 곳이 최대 12일간 마비되었다. 이 때문에 주유소 시스템에 심각한 피해가 발생했다. 오토바이 운전자는 수 시간 동안 주유 대기를 해야 했다는 불만을 터뜨렸다. 연료 공격은 이란 정권의 두 번째 연료 가격 상승과 함께 발생했다. 이후, 연료 가격 인상 시위가 발생하자 인터넷이 차단됐다.

그러나 주유소 공격은 철도 기반 시설 공격과는 별개인 것으로 드러났다. 그동안 널리 알려지지 않은 해커 조직인 프레데터리 스패로우(Predatory Sparrow)가 주유소 공격이 자신들의 소행이라고 주장했으나 이란 정부 관료는 주유소 공격이 정부가 지원하는 해커 세력이 개시한 것이라고 밝혔다. 뉴욕타임스는 익명의 미군 관계자를 인용해, 이란 주유소 공격이 이스라엘 소행이라고 보도했다. 다른 복수 매체 보도에 따르면, 최근의 다른 공격 표적 중에는 이란의 댐과 식수 공급 체계는 물론이고, 이란 항공사도 포함됐다.

핀켈슈타인은 “그동안 주요 기반 시설을 겨냥한 공격은 국가와의 관계를 계속 유지했다. 매우 복잡한 기반 시설을 다루기 때문이다”라고 말했다. 수많은 해커 조직이 기반 시설 공격 배후 세력이라고 주장하려 했다. 그러나 다수 보안 전문가는 공격 속성에서 자세히 기술된 기술적 상세 사항이나 공격을 개시했다고 주장하는 해커 세력의 부족한 점을 지적한다.

이란 전문 인권 단체인 미안 그룹(Miaan Group)의 디지털 권리 인터넷 보안국장 아미르 라쉬디(Amir Rashidi)는 해커 세력이 이란 기반 시설을 겨냥한 공격을 성공한 부분적인 이유는 이란을 겨냥한 사이버 공격 때문이라고 주장한다. 이란에서 미국 기업의 상당수 제품 구매나 업데이트를 진행할 수 없다고 말한다. 기반 시설 체계에 사용하더라도 예외는 아니다. 라시디 국장은 “미국 기업의 툴이나 장비, 패치 작업 수정이 불가능하다. 이란은 사이버 방어에 매우 취약하다”라고 말했다.

그러나 여러 가지 잠재적인 취약점이 존재해도 이란 국가 주도 해커 세력의 다른 국가를 겨냥한 공격적인 사이버 공격 작전은 계속 이어졌다. 이란 해커 세력은 이스라엘 성 소수자용 데이팅 앱인 Atraf 해킹과 관련이 있으며, 개인의 성적 취향과 HIV 감염 여부 등 사용자 100만여 명의 상세 정보를 11월, 온라인에 공개했다. 이스라엘 군인의 상세 정보와 보험사 셔빗(Shirbit)에서 탈취한 데이터 공개 행위도 이란 해커 조직과 관련이 있는 것으로 밝혀졌다.

그와 동시에 이란 해커 세력은 먼 곳에도 분주하게 사이버 공격을 개시했다. 11월 17일(현지 시각), 미국과 호주, 영국 사이버 보안 관료 모두 국가 주도 해커 조직이 2021년 3월부터 미국과 호주 병원, 대중교통 기반 시설을 겨냥한 사이버 공격을 개시했다고 발표했다. 미국 정부 기술 보좌관은 이란 주도 해커 세력이 보안 기업 포티넷(Fortinet)의 마이크로소프트 익스체인지 시스템과 소프트웨어 취약점을 겨냥한 공격을 개시했다고 밝혔다.

2009년과 2010년, 미국과 이스라엘이 스턱스넷(Stuxnet) 코드로 이란의 핵농축 분리기를 파기한 뒤, 다른 여러 국가의 기반 시설 해킹에 대한 관심을 자극했다. 해커 세력이 제대로 공격을 개시하면서 주요 기반 시설에 심각한 피해를 주는 사례는 상대적으로 적었으나 각각의 공격 모두 추가 공격으로 이어지는 사례가 될 수 있다.

일례로 러시아의 샌드웜(Sandworm) 해커 세력은 우크라이나 전력 그리드를 겨냥한 유례없는 수준으로 매우 심각한 사이버 공격과 전 세계적으로 피해를 준 낫페트야(NotPetya) 공격을 개시했다. 그러나 최근 중동에서 발생한 여러 차례의 무차별적인 공격에 특히 주목할 만하다. 마이크로소프트는 2021년 발표한 방어 보고서를 통해 “이란은 주기적으로 파괴적인 공격에 주기적으로 개입할 의사를 지닌 유일한 국가 주도 해커 세력을 보유했다. 이란의 공격 대부분 이스라엘을 공격 대상으로 삼는다”라는 결론을 내렸다.

기반 시설 보안 공격과 수백만 명의 삶에 심각한 피해를 주는 일은 정치계와 사이버 보안 업계 모두에 경고할 사항이다. 중동에 본사를 둔 기반 시설 보안 기업 드래고스(Dragos)는 “이란 기반 시설이냐, 이스라엘 기반 시설이냐, 아니면 사우디아라비아 기반 시설이냐가 중요한 것이 아니다. 민간 기반 시설이라는 점이 중요하다. 따라서 기반 시설은 공격하지 않도록 상호 협력을 체결해야 한다. 민간인에게 영향을 미칠 수 있는 기반 시설은 공격 대상에서 제외해야 한다”라고 주장했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A Hacking Spree Against Iran Spills Out Into the Physical World
이 기사를 공유합니다
RECOMMENDED