By MATT BURGESS, WIRED UK

모든 질서는 시계태엽이 움직이듯이 발생한다. 매일 주로 현지 시각 기준 오전 5시께 우크라이나의 유례없는 수준의 IT 부대 소속 해커 집단이 모인 텔레그램 채널은 새로운 공격 대상 목록을 주고받느라 분주하다. 자발적으로 모인 우크라이나 IT 부대 소속 해커 무리는 대규모로 분산형 서비스 거부 공격인 디도스(DDoS) 공격을 연속으로 개시해 러시아 웹사이트 접속 장애를 일으켰다. 공격은 전쟁이 발발했을 때부터 종종 러시아 여러 웹사이트에 트래픽 요청을 하고는 접속할 수 없는 상태로 차단하는 방식으로 이어졌다.

러시아 온라인 결제 서비스와 정부 기관 웹사이트, 항공 기업, 식품 배송 기업 모두 러시아의 일상생활 마비를 유발할 목적으로 사이버 공격을 개시하는 IT 부대의 표적이 되었다. 우크라이나 정부 지원을 받는 텔레그램 채널 운영자는 4월 중순, 사이버 공격 작전 주장 후 “러시아 정부가 오늘 TV 스트리밍 서비스의 주기적인 접속 장애 문제를 알아차렸다”라는 메시지를 전송했다.

IT 부대의 행동은 시작에 불과했다. 2022년 2월 말, 러시아가 우크라이나를 침략했을 당시 러시아는 유례없는 규모의 해킹 활동 장벽을 직면했다. 해커 집단과 우크라이나 군대, 그리고 우크라이나 IT 부대와 함께하는 세계 각지 외부 조직이 러시아와 러시아 기업을 공격하기 시작했다. 상당수 공격이 디도스 공격이지만, 사이버 보안 업계의 다수 연구원이 러시아를 겨냥한 랜섬웨어를 감지했으며, 러시아 시스템에서 버그를 퇴치했다고 밝혔다. 결과적으로 더 첨단화된 사이버 공격이 발생했다.

러시아를 겨냥한 사이버 공격은 최근의 역사와는 첨예하게 대립된다. 다수 사이버 범죄 조직과 랜섬웨어 조직이 러시아와 관련이 있으나 러시아를 공격하지 않는다. 그러나 이제는 러시아도 공격 대상이 되었다. 보안 기업 디지털 섀도우스(Digital Shadows) 소속 사이버 위협 인텔리전스 애널리시트인 스테파노 데 블라시(Stefano De Blasi)는 “러시아는 보통 사이버 공격을 개시하는 국가이지, 공격 대상이라는 인식은 없었다”라고 언급했다.

우크라이나 전쟁 초기, 디도스 공격이 그리 강력하지는 않았다. 러시아 사이버 보안 기업 카스퍼스키(Kaspersky)는 2022년 3월부터 디도스 공격 기록 수준 기록이 이루어졌다는 분석 결과를 공개했다. 러시아와 우크라이나 모두 디도스 공격으로 서로 공격하려 했으나 러시아를 겨냥한 공격 시도가 더 혁신적이면서 장기간 이어졌다.

우크라이나 테크 기업은 퍼즐 게임 2048을 간단하게 조작하여 디도스 공격을 개시했으며, 누구나 기술 지식 수준에 상관없이 러시아 공격에 동참하도록 여러 가지 툴을 개발했다. 3월 24일(현지 시각), IT 부대 텔레그램 채널에 “자동화 툴 공격을 자주 사용할수록 더 강력한 공격을 개시하게 된다”라는 내용의 메시지가 전송됐다. 텔레그램 채널 운영자는 채널 접속자에게 VPN을 더 적극적으로 활용해 위치를 속이고는 디도스 공격 대상이 되는 일을 피하도록 촉구한다. 4월 말로 접어들자 IT 부대는 디도스 공격 대상의 온라인 연결 상태나 접속 장애 발생 및 기술적 지침 포함 여부 등을 나열한 자체 웹사이트를 개설했다. (IT 부대는 와이어드의 공격 관련 문의에 답변하지 않았다.)

우크라이나 사이버 보안 스타트업 해켄(Hacken) CEO인 드미트로 부도린(Dmytro Budorin)은 “우크라이나는 강력한 공격 개시 부분에서 훌륭한 성과를 기록했으며, 디도스 공격을 받은 웹사이트 다수가 정상적으로 연결되지 않은 것을 확인했다”라고 말했다. 전쟁이 발발하지 부도린은 동료와 함께 해켄의 디도스 방지 툴 중 하나인 디스밸런서(disBalancer)를 변경해, 디도스 공격 개시에 동원했다.
 
카스퍼스키 분석 결과, 우크라이나 전쟁 이후 전 세계 디도스 공격 수가 정상적인 수준으로 전환되었으나 공격 자체는 단 몇 분이 아닌 몇 시간 단위로 더 오래 지속된 것으로 드러났다. 카스퍼스키 연구팀은 가장 오랜 시간 이어진 디도스 공격이 177시간 동안 이어진 사실을 확인했다. 카스퍼스키 연구팀은 분석 보고서에 “공격은 효과를 떠나 계속 이어진다”라는 내용을 작성했다. (3월 25일, 미국 정부는 카스퍼스키를 국제 사회 보안 위협 대상으로 추가했다. 이에, 카스퍼스키 측은 제재 명단 추가 조치가 실망스럽다고 발표했다. 독일 사이버 보안 기관도 3월 15일 자로 카스퍼스키 소프트웨어 사용을 경고했으나 사용 행위를 금지하지는 않았다. 카스퍼스키는 독일의 자사 소프트웨어 사용 경고가 기술적 기준을 토대로 이루어진 것이 아니라고 확신한다고 밝혔다.)

부도린은 우크라이나인이 전투 이외에 다른 방식으로 전쟁 노력에 이바지하는 데 디도스 공격이 유용했다고 말하며, 우크라이나와 러시아 양국이 공격과 방어 전략을 개선했다고 설명했다. 다만, 디도스 공격이 전쟁 자체에 큰 영향을 미치지 않을 수 있다는 점을 인정했다. 부도린은 “전쟁 최종 목표에는 큰 영향을 미치지 않는다. 우크라이나의 전쟁 최종 목표는 종전이다”라고 말했다.

러시아가 우크라이나 전 지역을 침략하자 러시아 해커 세력은 우크라이나 전력 시스템 마비 공격을 시도하면서 모든 데이터를 제거하는 와이퍼 멀웨어를 배포했다. 그와 동시에 예측한 바와 같이 우크라이나 정부를 겨냥한 파괴 공격도 개시했다. 그러나 우크라이나 관료는 러시아 해커 조직 활동이 감소했다고 발표했다. 우크라이나 사이버 보안 기관인 국가 특수통신 및 정보 보호 기관 국장 유리 쉬치홀(Yurii Shchyhol)는 4월 20일 자 공식 성명을 통해 “최근 러시아가 이전처럼 사이버 공격을 최대한 준비할 수 없어, 사이버 공격이 질적으로 저하되었다. 이제 러시아는 자국 시스템도 취약하다는 사실을 확인해, 주로 방어에 오랜 시간을 투자한다”라고 말했다.

부도린은 해켄의 기술을 디도스 공격 수단으로 제공하는 것을 넘어 러시아 시스템의 보안 결함을 발견하여 보고하는 이들에게 일정한 보상을 지급하는 버그 바운티 프로그램도 마련했다. 부도린은 지금까지 러시아 시스템 결함 보고 건수가 3,000건을 넘었다고 밝혔다. 이어, 보고 사항 중에는 유출된 데이터베이스의 상세 정보와 로그인 정보는 물론이고, 러시아 시스템에서 코드를 원격으로 실행할 수 있는 심각한 취약점 등이 포함되었다고 주장했다. 해켄은 버그 바운티를 통해 확인한 취약점을 검증하고는 우크라이나 당국에 전달한다. 부도린은 “메인 경로로 공격 지점을 찾을 수 없다. 지역 거점을 거쳐야 한다. 러시아 시스템은 버그투성이이며, 공격 진입 경로가 매우 많다"라고 말했다.

전쟁 내내 이어진 사이버 전쟁이 분명하게 드러나거나 예견할 수 있는 영향을 미치지 않았으나 상당수 사이버 공격은 공개 정보나 외부 지식이 없더라도 개시할 수 있다. 데 블라시는 “지금 당장 발생한 첨단 기술을 동원한 가장 지능적인 공격 작전은 간첩 행위인 듯하다. 러시아에 가장 심각한 피해를 준 사이버 공격 유형을 정확히 확인하려면 수년이 걸릴 것이다”라고 말했다.

해커 세력을 포함해 러시아에 사이버 공격을 가하는 이들 모두 수백 기가바이트 상당의 러시아 데이터와 이메일 수백만 통을 확보한 뒤 공개하였다. 모두 러시아 정부 기관 일부분이 마비되는 데 도움이 될 수 있다. 그러나 이스라엘 사이버 보안 기업 체크 포인트(Check Point) 소속 위협 인텔리전스 및 연구 국장인 로템 핀켈스타인(Lotem Finkelstein)은 다른 유형의 사이버 공격 행위도 발생할 수 있다고 예측했다.

2022년 3월 초, 새로운 랜섬웨어 공격이 발견됐다. 푸틴을 지지할 때, 악명 높은 랜섬웨어 조직인 콘티(Conti)에 매우 큰 가치가 있다는 사실이 입증된 대다수 랜섬웨어 공격은 러시아와 관련이 있으나 새로 발견된 조직은 러시아 기관을 공격할 목적으로 설계되었다. 보안 기업 트렌드 마이크로(Trend Micro)의 분석 작업을 통해 드러난 해당 랜섬웨어 공격의 코드 랜섬 노트에는 “RU_Ransom 개발자인 본인은 러시아에 피해를 줄 의도로 이 랜섬웨어를 개발했다”라는 내용이 적혀 있다. 해당 멀웨어는 웜처럼 널리 퍼지면서 데이터 시스템을 삭제할 수 있다. 그러나 3월 초, 사이버 보안 연구원 집단은 RU_Ransom이 아직 실제로 발견되지 않았다고 언급했다. 핀켈스타인은 “러시아를 특별히 겨냥한 랜섬웨어 등장 사례는 매우 이례적이다”라며, 체크 포인트가 전쟁 도중 러시아에 발생한 사이버 공격 피해 규모를 확인할 새로운 연구를 진행 중이라고 덧붙여 전했다. 또, 핀켈스타인은 “현재 러시아는 그동안 자국에서 발견된 사례가 흔하지 않았던 공격을 당하고 있다”라고 언급했다.

러시아를 겨냥한 사이버 공격이 증가했으나 결과적으로 러시아의 인터넷 고립을 심화하도록 유도한다는 징조가 발견되었다. 지난 몇 년간 러시아 정부 관료는 러시아 자체 주권 인터넷 개발과 전 세계 시스템 파괴를 논의했다. 러시아는 디도스 공격 시작과 함께 정부 웹사이트에 지리적 방어를 적용했다. 또, 현지 국영 언론 보도에 따르면, 러시아 디지털개발부 장관은 자국 웹사이트의 사이버 보안 조치 강화와 도메인 이름 관리 유지를 이야기했다.

개인 사이버 보안 연구원 겸 컨설턴트인 루카즈 올레즈니크(Lukasz Olejnik)는 “지금도 인터넷 연결 전면 차단이 극단적인 대응이라고 본다. 게다가 러시아 정부가 지금도 일종의 자기 부인을 이어가고 있으며, 사이버 공격 혹은 서양 제재 이후 중요한 문제가 전혀 발생하지 않은 것처럼 행동한다”라고 말했다. 그러나 러시아 정부가 각종 피해를 부인하지만, 여전히 주권 인터넷이라는 장기 목표를 강화하면서 적극적으로 추진하고 있다고 덧붙였다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Russia Is Being Hacked at an Unprecedented Scale