우크라이나 전쟁의 잔혹함이 이어지는 내내 러시아 군대는 육지에서 여러 도시에 방화 범죄와 시민을 대상으로 한 강간과 고문을 자행하면서 잠재적인 전쟁 범죄 목표를 약속하기도 했다. 2022년 11월 23일(현지 시각), 유럽 전역의 국회의원은 러시아를 국가 주도 테러주의 세력으로 분류하며, 러시아와의 관계 축소를 촉구했다. 그에 대한 대응은 즉각 이어졌다. 유럽의회 웹사이트가 디도스 공격을 받아 접속 장애를 겪었다.
트래픽으로 웹사이트 작업 요청 사항을 과도하게 부여해 접속 불가능 상태를 만드는 기초적인 공격 때문에 유럽의회 웹사이트가 몇 시간 동안 접속 장애 상태가 되었다. 친러 해커 단체인 킬넷(Killnet)이 유럽의회 웹사이트 디도스 공격을 개시했다고 주장했다. 킬넷은 2022년 전 세계 기관 수백 곳에 공격을 개시했으며, 공격 대상 중 소수 웹사이트에 몇 시간 동안 일시 접속 장애를 일으켰다. 킬넷은 해킹 행동주의 급증과 함께 기승을 부린 사이버 공격 세력 중 하나이다.
여러 해에 걸쳐 불규칙하게 이어진 해킹 행동주의 활동이 2022년에는 대규모로 재차 급증했다. 러시아가 우크라이나를 상대로 개시한 전면전은 우크라이나와 러시아 양측의 해킹 행동주의 단체 점수를 생성했다. 그리고 이란과 이스라엘에서는 이른바 해킹 행동주의 단체가 갈수록 심각한 파괴를 일으킨 공격을 개시하기 시작했다. 2022년 관측된 새로운 해킹 행동주의 물결은 단체와 국가마다 차이가 크지만, 새로운 전략과 접근방식을 택하면서 갈수록 해킹 행동주의와 정부 주도 사이버 공격 간 경계를 모호하게 만들었다.
보안 기업 센티넬원(SentinelOne)의 수석 위협 연구원인 후안 안드레스 헤레로 사드(Juan Andres Guerrero-Saade)는 “해킹 행동주의가 사라졌다고 말하지는 않겠다. 다만, 가끔 약해졌다고 말할 수는 있다”라고 전했다. 헤레로 사드는 지난 4~5년간 해킹 행동주의가 낮은 수준의 파괴와 국가 주도 해킹 공격으로 일으키는 교묘한 공격 등 종종 반대 형태로 존재했다고 설명한다. 헤레로 사드는 “해킹 행동주의에 가담하는 세력이 많다. 또, 피해 수준이 적은 공격과 국가 주도의 심각한 피해를 일으키는 공격의 중간 영역이 훨씬 더 규모가 커졌다”라고 말했다.
2022년 2월, 러시아의 우크라이나 침략은 해킹 행동주의 급증이라는 상황을 촉발했다. 레거시 해킹 집단인 어나니머스(Anonymous)의 위력은 약해졌으나 새로운 해킹 행동주의 집단이 형성됐다. 전 세계 해커 단체가 자발적으로 모여 형성된 우크라이나의 유례없는 해킹 행동주의 단체인 IT 부대(IT Army)는 텔레그램 그룹에 기술한 바와 같이 러시아를 상대로 꾸준히 디도스 공격을 개시했다. 또 다른 해킹 행동주의 관련 단체도 러시아 기관을 겨냥한 대규모 해킹 및 정보 유출 작전을 펼쳐, 결과적으로 총 수백 기가바이트 상당의 러시아 정보가 온라인에 유포됐다.
사이버 보안 기업 체크포인트(Check Point) 소속 위협 정보 그룹 관리자 세르게이 쉬케비치(Sergey Shykevich)는 우크라이나 전쟁에서 우크라이나군의 반대편에는 친러 성향의 주요 해킹 행동주의 조직인 ‘킬넷’과 ‘노네임 057(NoName 057)’, ‘프롬 러시아 위드 러브(From Russia With Love)’, ‘작넷(XakNet)’이 있다. 쉬케비치는 킬넷이 가장 왕성한 활동을 펼치는 조직이라고 전했다. 그는 “2022년 4월부터 킬넷은 총 650여 개 기관을 공격 표적으로 삼았다. 그러나 그중 우크라이나 조직은 단 5%이다”라고 말했다. 유럽의회와 마찬가지로 킬넷의 공격 대상이 된 기관은 주로 반러 성향이 강한 국가이다. 대부분 디도스 공격을 이용한 킬넷은 텔레그램을 적극적으로 이용하면서 미디어 친화적이고, 러시아어를 구사하는 시민에게 호소한다.
[사진=Pixabay]
디도스 공격은 현대 해킹 행동주의 안에서 규모가 훨씬 더 커졌다. 미국 연방수사국(FBI)은 11월 초 발행한 경고를 통해 디도스 공격 배후 세력이 피해자에게 최소한의 운영 영향을 미친다고 전했다. FBI는 “해킹 행동주의는 종종 인식된 공격 표적을 선택해, 실제 기관 운영에 심각한 피해를 주기보다는 훨씬 더 널리 인식된 영향을 미친다”라고 말했다. 한마디로 말하자면, 피해 규모가 실제 피해 범위보다 더 심각한 수준으로 알려졌다는 의미이다.
컬럼비아대학교 솔츠만전쟁평화연구소(Saltzman Institute of War and Peace Studies) 연구원인 에리카 로네간(Erica Lonergan)은 디도스 공격이 실제 피해 규모보다 과장된 채로 알려지는 때가 많다고 말한다. 언론은 디도스 공격 피해 규모를 종종 과장하여 설명해, 많은 이들이 실제 피해 수준보다 더 심각하다고 생각하게 된다. 로네간 연구원은 “킬넷과 같은 해킹 행동주의 단체가 개입한 공격 유형을 이야기할 때 사용하는 과장된 표현과 실제 공격이 미친 영향 간 격차가 있다”라고 언급했다.
그러나 해킹 행동주의 조직이 디도스 공격만 개시하는 것이 아니다. 남미에서는 해킹 행동주의 조직 과카마야(Guacamaya)가 암호화폐 채굴 기업 해킹 후 사내 이메일을 유출했다고 주장했다. 2020년, 알렉산더 루카셴코 대통령의 당선 후 형성된 벨라루스 해킹 행동주의 조직인 사이버 파티잔(Cyber Partisans)은 정치적 동기에 따라 사이버 공격을 개시하며, 러시아와 벨라루스의 우크라이나 전쟁 개입 시도로 널리 피해를 일으키면서 공격 수법이 고도로 발전했다. 벨라루시안 사이버 파티잔은 정치적 목적만으로 랜섬웨어 공격을 개시한 첫 번째 조직이 되었다. 또한, 러시아 정부 조직의 데이터를 탈취하고 루카셴코 정권을 지지하는 정부 관료 데이터를 구축했다고 주장했다.
헤레로 사드는 사이버 파티잔이 피해 기관의 재산 파괴와 피해를 악용하는 새로운 해킹 행동주의 조직의 유형에 해당한다고 설명했다. 헤레로 사드는 “사이버 보안 전문가는 사이버 파티잔이 실제 조직인 것처럼 보인다. 벨라루스 현지에서 사이버 범죄 작전에 협력하면서 새로운 방법을 동원해 실질적으로 전쟁 지지와는 거리가 먼 지방 정부의 웹사이트 접속 속도 저하, 파괴 혹은 불편함 등 문제를 일으킨다”라고 말했다.
2022년 7월, 이란에서는 자칭 해킹 행동주의 조직인 프레데터리 스패로우(Predatory Sparrow)가 사이버 공격을 동원해 철강 공장에 방화 범죄를 저질렀다. 프레데터리 스패로우의 사례와 같이 물리적 피해를 일으키려 사이버 공격을 동원하는 사례는 매우 드물다. 2021년, 또 다른 해킹 행동주의 조직 아다라트 알리(Adalat Ali)는 악명 높은 정치범 수용소인 에빈(Evin)의 CCTV를 해킹한 뒤 유출했다. 프레데터리 스패로우와 아다라트 알리의 공격 모두 이란과 이스라엘 사이에서 이어진 일련의 대규모 사이버 공격 작전의 일부였다. 두 조직 모두 해킹 행동주의가 극단적인 수준에 이를 수 있음을 보여주었다.
쉬케비치는 2022년 관측된 해킹 행동주의 상당수를 국가 주도 해킹으로 정의할 수 있다고 주장한다. 그는 “대다수 공격 사례를 보면, 해킹 행동주의 단체가 특정 국가 기관의 지시나 지원을 받았는지 말하기 어렵다. 그러나 대부분 친정부 성향이나 반정부 성향이 뚜렷하다”라고 설명했다.
그 종류를 떠나 사이버 공격의 배후 세력을 밝히는 작업은 항상 기관이 수행하기에는 복잡하면서도 어렵다. 공격 세력은 종종 활동 자체를 위장하거나 공개적으로 드러나지 않도록 정체를 숨긴다. 그러나 일부 해킹 행동주의 조직이 특정 국가와 관련되었다는 증거가 있다. 일례로, 일각에서는 프레데토리 스패로우가 정부와 관련이 있다고 의심한다. 반면, 보안 기업 맨디언트는 친러 성향 조직인 작넷과 인포센터(Infoccentr), 러시아 사이버 부대(Cyber Army of Russia) 모두 GRU의 군대 산하 해커와 디도스 공격 작전을 위해 손을 잡았다고 확신한다. 러시아 사이버 부대는 2022년 11월, 미국 중간선거 기간에 디도스 공격을 개시했다. 맨디언트는 작넷과 킬넷도 미국 중간 선거에 영향력을 행사하려 했다고 주장한다.
로네간 연구원은 “각국 정부가 의도한 방식이든 의도하지 않은 방식이든 정치적 목적을 위해 해킹 행동주의 조직을 이용할 수 있다”라며, “예를 들어, 러시아 정부 편에 서서 디도스 공격을 개시한 킬넷은 텔레그램 채널에서 러시아 정부와의 직접적인 관련성을 명확하게 부인했다. 그러나 그와 동시에 러시아 사이버 조직의 암묵적인 규정을 따랐다”라고 설명했다. 러시아 사이버 범죄 조직이 러시아 기관을 공격 대상으로 삼는 사례는 드물다. 또, 러시아 정부는 자국 해커 세력이 타국의 정부 기관이나 기업을 상대로 펼친 사이버 공격 활동 대부분 외면한다.
결과적으로 해킹 행동주의 단체가 갈수록 첨단 기술을 동원하여 교묘한 공격을 개시하면서 새로운 공격 수단을 시험한다. 또, 해킹 행동주의 단체의 근원이 갈수록 불확실해진다. 쉬케비치는 “정부 기관과의 관계에 따라 활동하는 해킹 행동주의 조직이 추가로 더 등장할 것이다. 전반적으로 2022년은 정부 공격과 해킹 행동주의, 사이버 범죄 간의 경계가 완벽히 모호해졌다”라고 분석했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202301/4454_5861_598.jpg)
뉴스레터 신청