리투아니아를 겨냥한 사이버 공격은 6월 20일(현지 시각) 시작됐다. 그 후 10일간 리투아니아 정부와 기업 웹사이트가 디도스(DDoS) 공격을 받아 트래픽 과중과 오프라인 전환 등과 같은 문제를 겪었다. 리투아니아 국가 사이버보안 센터 국장 대행인 조나스 사크르딘스카스(Jonas Sakrdinskas)는 “보통 디도스 공격은 한 번에 웹사이트 한, 두 곳을 겨냥하면서 트래픽을 대거 생성한다”라고 말했다. 그러나 최근 발생한 리투아니아 디도스 공격은 달랐다.
디도스 공격이 발생하기 불과 며칠 전 리투아니아는 석탄과 금속 원자재를 러시아 칼리닌그라드로 이동할 경로를 막아, 전쟁 상황에서 우크라이나 지원을 추가로 강화했다. 친러 성향의 해커 조직인 킬넷(Killnet)이 팔로워 8만 8,000명을 거느린 자체 텔레그램 채널에 “리투아니아가 미쳤나? ”라는 글을 게재했다. 그 후 킬넷은 다른 친러 성향의 해킹 조직 여러 곳 등 정치적 동기에 따라 활동하는 해커 조직을 지목하며, 리투아니아 웹사이트 공격을 요청했다. 그리고 공격 대상으로 삼을 웹사이트 목록도 공유했다.
사크르딘스카스 국장 대행은 러시아 해커 조직의 공격은 리투아니아 전 지역의 일상생활 전 영역으로 계속 확산되었다고 설명했다. 리투아니아 정부는 공공 부문과 민간 분야 웹사이트 총 130곳이 접속이 어려워지거나 접속이 불가능해졌다고 발표했다. 사크르딘스카스 국장 대행은 킬넷과 관련된 러시아 해커 조직의 집단 공격이 7월 초에 거의 중단되었으며, 리투아니아 정부는 범죄 수사를 개시했다고 밝혔다.
리투아니아 공격은 2022년 2월, 블라디미르 푸틴이 우크라이나를 침략한 이후 나타난 친러 성향의 정치적 해커 조직 활동 물결 중 가장 최근의 사례이다. 킬넷은 지난 수개월간 우크라이나를 지원하는 국가를 공격 대상으로 추가했으나 정작 사이버 전쟁에는 직접 개입하지 않았다. 독일과 이탈리아, 노르웨이, 리투아니아, 미국을 겨냥한 러시아 해커 조직의 공격 모두 킬넷과 관련되었다. 킬넷은 지금까지 총 10개국을 대상으로 전쟁을 선포했다. 주로 우크라이나를 지원한 뒤 해당 국가를 공격 표적으로 삼는다. 반면, 또 다른 친러 성향의 정치적 해커 조직인 작넷(XakNet)은 우크라이나 최대 민간 에너지 기업과 우크라이나 정부 웹사이트를 공격했다고 주장했다.
다수 보안 전문가가 종종 러시아발 사이버 공격이 서양 국가를 공격 대상으로 삼을 수 있다고 경고한다. 하지만 자발적 해커 조직의 공격 시도는 국가 차원의 공식 지원이나 공격 개시가 없더라도 영향을 미칠 수 있다. 킬넷의 활동을 연구해온 보안 기업 디지털 섀도우(Digital Shadows)의 최고 사이버 위협 정보 애널리스트인 이반 리기(Ivan Righi)는 “킬넷은 공격을 개시하려 할 때, 분명히 악의적인 의도로 행동한다. 러시아 정부와 직접 협력하지는 않지만, 러시아 정부를 지원한다”라고 말했다.
킬넷은 디도스 툴을 공급하면서 활동을 시작해, 2022년 1월에 처음 발견되었다. 리기는 “킬넷은 디도스 앱을 광고하거나 사이버 공격에 동원할 봇넷을 구하고 디도스 공격을 개시하는 데 사용할 수 있는 웹사이트에서 홍보 활동을 펼쳤다. 그러나 2월, 러시아가 우크라이나를 침략한 뒤 킬넷의 활동은 중요한 변환점을 맞이했다. 리기가 설명한 바와 같이 킬넷의 활동과 킬넷의 활동에 합류하여 특정 국가를 공격하도록 요청하는 구성원으로 형성된 산하 그룹 절대다수가 디도스 활동을 펼쳤다. 리기는 이 외에도 킬넷이 일부 웹사이트 활동과 관련된 사례와 킬넷이 직접 데이터를 탈취했다는 검증할 수 없는 주장을 펼친 사례도 발견했다.
정치적 공식 발표와 디도스 공격 대상을 논의하는 킬넷의 텔래그램 채널은 2022년 2월 말 개설돼, 5월 이후 팔로워 수가 두 배 증가하는 등 인기를 얻었다. 리기는 “킬넷은 러시아 대중에게도 매우 인지도가 높은 조직이 되었다”라고 언급했다. 이어, 킬넷이 교묘한 홍보 영상을 제작하고, 자체 상품을 판매하기도 한다고 덧붙여 말했다.
[사진=Freepik]
디도스 공격은 첨단화된 지능적 사이버 공격이 아니다. 그러나 노르웨이 NSM 사이버 보안 기업 소장인 소피 니스트룀(Sofie Nystrøm)은 6월 말, 노르웨이 기업 여러 곳이 디도스 공격 피해 사례를 보고하자 발표한 공식 성명을 통해 “러시아 해커 조직은 광범위한 인구 집단에 불확실한 문제를 일으키면서 유럽의 현재 정치적 상황의 한 영역에 포함되었다는 사실을 생각하도록 한다”라고 말했다.
러시아는 오래전부터 랜섬웨어 조직 등 각종 사이버 범죄 조직의 온상이었다. 러시아 정부는 사이버 범죄 조직이 자국 정부 기관이나 기업을 공격하지 않을 때마다 랜섬웨어 등 각종 공격을 무시했다. 그와 동시에 러시아 국방 기관 산하 해커 조직도 지난 몇 년간 전 세계에 혼란을 일으켰다. 그동안 우크라이나 대규모 정전 사태와 올림픽 개최국 시스템 사이버 공격과 2017년 발생한 역사상 최악의 사이버 공격 모두 러시아 국방 기관 산하 조직의 소행이다. 러시아 정부가 지원하는 해커 조직이 우크라이나 전쟁 이후로 증가했다는 증거가 다수 발견되었으나 러시아는 전 세계에 사이버 공격을 개시하며 사이버 공격 행위를 둘러싼 비판에 코웃음 친다. 주미 러시아 대사관은 사이버 공격과 관련된 와이어드의 문의에 답변하지 않았다.
4월, 미국과 호주, 캐나다, 뉴질랜드, 영국 사이버 보안 관료는 작넷과 킬넷 등 친러 해커 조직이 사이버 공격으로 일으킬 수 있는 피해를 경고했다. 킬넷의 배후 인물이나 러시아 정부 지원 여부는 확실하지 않지만, 다른 악명 높은 러시아 해커 조직이 러시아 정부와 관련된 사실이 확인됐다. 6월 말, 블룸버그가 최초 보도한 바와 같이 미국 사이버 보안 기업 맨디언트(Mandiant)는 러시아 정보 운영 조직이 작넷에 탈취 정보를 건넸다고 발표했다. 우크라이나 정부 관료도 자국 최고 민간 에너지 기업 DTEK의 배후로 작넷을 지목했다. (작넷은 팔로워 수 3만 6,000명인 텔레그램 채널에 DTEK을 여러 차례 언급한 메시지를 전송했다.)
맨디언트 수석 애널리스트 앨던 왈스트롬(Alden Wahlstrom)은 “러시아의 우크라이나 침략이라는 맥락에서 친러 성향 해커 조직이 여럿 급부상했다. 작넷과 킬넷 모두 조직 형성 배경이 의문스럽다”라고 말했다. 왈스트롬은 정치적 동기에 따라 활동하는 해커 조직의 활동에 적절한 회의주의와 함께 러시아 정보기관이 각종 사이버 활동에 여러 소규모 산하 조직을 동원해온 과거가 확실하다는 사실을 고려한 접근 방식을 택해야 한다고 주장했다. 7월 초, IBM은 트릭봇 사이버 범죄 조직이 콘티 랜섬웨어 조직 등 비교적 규모가 작으면서 러시아 정부의 지원을 받는 은 여러 조직을 형성하면서 우크라이나를 공격 표적으로 삼은 사실을 최초로 발견했다. IBM은 이를 러시아 조직의 대대적인 행동 변화라고 설명했다.
작넷은 러시아 정부의 직접적인 지시를 받지 않는다고 주장했다. 맨디언트 연구팀이 발견한 작넷의 텔레그램 메시지 중에는 러시아 정부의 지위를 전면 지지하며, 작넷의 사이버 공격 행위가 합법이 아니라는 사실을 인지한다는 내용이 포함되었다. 작넷은 당시 러시아 FSB와 협력하지 않는다고 주장했으며, 누구든 도움을 청한다면 기꺼이 데이터를 제공할 의사가 있다고 밝혔다.
러시아 해커 조직 자체가 서로 어느 정도 연결되었을 수도 있다. 왈스트롬은 여러 해커 조직이 각자 공식 텔레그램 채널에 다른 조직의 사이버 공격 활동을 게재한 사례를 여럿 확인했다. 킬넷이 리투아니아를 공격 표적으로 삼는다는 메시지를 게재했을 당시 작넷과 러시아의 여러 랜섬웨어 조직, 친러 해킹 단체에 사이버 공격 도움을 청했다.
왈스트롬은 “작넷과 킬넷은 러시아 언론 기관에 꽤 여러 차례 인터뷰를 한 적이 있다. 이 때문에 적어도 두 조직의 사이버 공격 행위가 부분적인 관련성이 있을 것이라는 가능성이 제기됐다. 두 조직 모두 우크라이나나 다른 국가와 맞설 때, 러시아가 더 큰 이익을 누리도록 돕는다. 그러나 오히려 러시아 언론으로 대대적인 홍보 활동을 펼칠 때마다 역효과만 낳는다. 친러 해커 조직 모두 러시아 정부의 우크라이나 침입을 지지한다고 명확하게 표현하며 민족주의 자발적 사이버 범죄 조직 활동을 보여주기만 하기 때문이다”라고 말했다.
킬넷은 와이어드의 의견 공개 요청에 “이제 더는 작넷과 협력하지 않는다. 킬넷의 적은 서양 국가 정부와 그 우호국 정부이다. 하지만 킬넷은 일반 시민에게는 위험한 조직이 아니다”라고 주장했다.
디도스 공격은 우크라이나에서도 악명 높은 공격이 되었다. 우크라이나 정부 관료는 전 세계 인구가 러시아를 목표로 삼고 사이버 공격을 개시하도록 자발적 IT 부대를 조직했다. 우크라이나 정부가 조직한 IT 부대는 적어도 일시적으로 러시아 정부 부처와 음식 배송 서비스 기업, 은행 웹사이트 접속 장애를 일으켰다고 주장했다. 또, 6월에는 IT 부대의 사이버 공격 때문에 한 시간 동안 푸틴의 공식 발표가 지연되었다. 국제 해커 조직 어나니머스 등 우크라이나 이외 다른 곳에서도 러시아를 겨냥한 해킹 공격을 개시한다.
우크라이나 전쟁이 장기화될수록 친러 조직이 러시아의 목표에 따라 사이버 공격 활동을 계속 개시한다. 미국 국책연구소인 국제전략문제연구소(Center for Strategic and International Studies) 국제 보안 프로그램 부국장 에밀리 하딩(Emily Harding)은 “러시아 정부는 정부 지원 해커 조직과의 관계를 의도적으로 야심 차게 유지해왔다. 러시아 정부의 보안 첩보 기관은 사이버 공격 세력을 알고 있다. 또한, 사이버 공격 활동을 어느 정도 이용하며, 필요할 때는 해커 조직을 대상으로 정부에 협력하도록 지시한다”라고 설명했다.
하딩 부국장은 다수 애널리스트가 러시아의 서비스 공격 툴과 우크라이나 지원 국가를 겨냥한 조직의 사이버 공격을 최대한 이용할 것이라고 예측한 사실을 언급했다. 또한, 정치적 동기에 따라 움직이는 해커 조직의 공격 수법이 더 교묘해진다면, 더 심각한 피해를 일으키거나 갈등 고조 위험성을 심화시킬 수 있다. 하딩 부국장은 “판단 오류의 위험성은 실제 존재하는 문제이다. 갈등을 고조시키지 않은 채로 사이버 작전 제한 능력을 검증한 세력은 없다”라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202207/4066_5401_2638.jpg)
뉴스레터 신청