감시 작전과 사이버 전쟁에 집중하는 국가 주도 해커 조직과 경제적 이익을 위한 전 세계 네트워크 악용을 일삼는 조직화된 사이버 범죄 세력을 중심으로 많은 해커 조직은 친근한 지칭 대상이 아니다. 기업에 심각한 피해를 유발하고 혼란의 씨앗을 뿌리며, 주요 기반 시설 마비를 유발한다. 전 세계에서 가장 심각한 피해를 유발하는 군사 조직과 독재 정권을 지원하고, 정부의 전 세계의 무고한 시민 감시 및 억압을 돕기도 한다.
그렇다면, 사이버 보안 전문 기자인 필자가 조직화된 해커 조직 관련 기사를 작성할 때마다 해커 조직을 ‘팬시 베어(Fancy Bear)’, ‘리파인드 키튼(Refined Kitten)’, ‘씨터틀(Sea Turtle)’ 등 귀여운 이름으로 칭하는 이유는 무엇일까?
필자가 러시아 군사 정보 조직의 특정 부서 해커 세력을 주제로 여러 사이버 보안 기업을 취재할 때마다 어느 한 기업이 ‘팬시 베어’라고 칭한 조직의 명칭을 ‘포운 스톰(Pawn Storm)’으로 자체적으로 번역하고, 기업이 ‘아이언 트와일라잇(Iron Twilight)’이라고 칭하는 해커 조직의 명칭도 번역해야 할까? 필자가 북한 정권 산하 해커 세력이 남한을 감시한 소식과 전체주의 정권인 김정은 정권의 자금 지원 목적으로 수백만 개의 암호화폐를 탈취한 소식, 전 세계에 악성 코드를 유포할 목적으로 복수 기업에 배포된 소프트웨어 보안을 침해한 소식 등을 보도할 때 해커 조직을 “킴수키(Kimsuky) 혹은 에메랄드 슬릿(Emerald Sleet), ‘벨벳 천리마(Velvet Chollima)’ 등으로 알려진 해커 조직”이라고 작성한 이유가 있을까? 솔직히 말하자면, 약간 당혹스러운 부분이다. 일반 독자에게는 사이버 보안 갈등 관련 일시적인 보도 내용이 포켓몬 카드 게임 대회만큼 매우 중요할 수도 있다.
최근, 마이크로소프트 사이버 보안 부서는 추적 중인 해커 조직 수백 곳을 지칭하는 데 이용하는 명칭 비교 전체를 바꿀 것이라고 발표했다. 마이크로소프트는 해커 조직에 매우 중립적이면서 과학적인 듯한 명칭과 같은 요소를 이름으로 지정하는 대신 해커 조직의 명칭을 두 가지 단어로 조합한 이름으로 지정할 계획이다. 새로운 명칭 지정 방식은 해커 조직이 대신 임무를 수행하는 국가를 시사하는 날씨 기반 설명과 국가 산하 해커 세력이나 사이버 범죄 조직에 해당하는가 확인할 수 있도록 정한다.
이는 마이크로소프트가 최근, 항구 도시와 에너지 기업, 통행 체계 등 미국 주요 기반 시설을 공격 대상으로 삼은 이란 해커 조직 포스포러스(Phosphorous)를 이제는 민트 샌드스톰(Mint Sandstorm)이라는 기존 명칭보다는 우려 유발 수준이 상대적으로 적은 이름으로 칭할 것임을 시사한다. 일반적으로 샌드웜(Sandworm)이라는 이름으로 알려진 러시아 내 가장 공격적이고 위험한 사이버 전쟁 전문 군사 해커 조직인 이리듐(Iridium)은 현재 ‘시셸 블리자드(Seashell Blizzard)’라는 다소 이상한 이름으로 불린다. 이리듐은 우크라이나에 여러 차례 대규모 정전 사태를 일으킨 사이버 공격과 역사상 가장 심각한 피해를 일으킨 멀웨어를 유포한 조직이다. 전 세계 여러 해커 조직 중 가장 많은 소프트웨어 공급망 공격을 개시한 것으로 추정되는 중국 해커 조직인 바륨(Barium)은 현재 브라스 타이푼(Brass Typhoon)이라고 불린다. 필자는 브라스 타이푼이라는 명칭이 자만심과 구분하기 어렵다고 생각한다.
[사진=Pixabay]
페리윙클 템피스트(Periwinkle Tempest), 펌프킨 샌드스톰(Pumpkin Sandstorm), 스팬덱스 템피스트(Spandex Tempest), 깅엄 타이푼(Gingham Typhoon) 등 해커 조직의 새로운 명칭 대부분 마이크로소프트가 4월 1일(현지 시각) 발표하지 않은 새로운 이름 분류 체계를 재차 확인할 정도로 이해가 되지 않았다. 산업 제어 시스템 사이버 보안 기업 드래고스(Dragos) 창립자이자 CEO인 롭 리(Rob Lee)는 “해커 조직의 새로운 명칭 모두 우스꽝스럽다. 전문적인 관점에서 진지하게 정하지 않은 이름인 듯하다”라고 말했다.
리는 엉뚱한 이름 지정과는 별개로 해커 조직의 새로운 이름 부여 체계는 실제 사이버 보안 분석 시 역효과를 낳을 수 있다는 문제점도 있다고 지적했다. 마이크로소프트의 위협 정보팀이 세계 최고 수준의 사이버 보안 조직 중 한 곳임을 고려하면, 사이버 보안 업계 전반의 애널리스트와 고객 모두 실제로 마이크로소프트가 지정한 새로운 해커 조직 명칭을 비교하도록 해커 조직 명칭 및 특정 조직의 일부 사이버 공격 등을 모은 데이터베이스를 받아보았을 것이다. 리는 변경된 해커 조직 이름 지정 체계가 해커의 국가적 충성도에 대한 분석가의 신뢰도를 표시하지 않은 채 교육받은 추측에 의존하게 된다고 덧붙여 전했다.
국가 정보국 산하 조직으로 추정된 해커 조직이 실제로 계약 관계로 채용된 조직임을 확인하게 된다면 어떨까? 혹은 사이버 범죄 세력이 정부를 위한 사이버 공격 개시 목적으로 임시 동원된 사실이 밝혀진다면 어떨까? 리는 “해커 조직의 평가는 시간이 지나면서 바뀔 것이다. 예를 들어, 과거 ‘더티 머스타드(Dirty Mustard)’라고 칭한 해커 조직 명칭이 이제는 ‘스월링 템피스트(Swirling Tempest)’로 바뀌어 혼란을 유발하는 상황을 언급할 수 있다”라고 말했다. (드래고스도 광물 이름을 해커 조직의 명칭으로 지정하는 것이 마이크로소프트의 기존 해커 조직 이름 지정 방식처럼 혼란을 유발할 수 있다는 사실을 인정했다. 적어도 드래고스는 특정 해커 조직에 ‘깅엄 타이푼’과 같이 해커 조직임을 추측하기 어려운 이름을 지정한 적이 없다.)
마이크로소프트에 새로운 해커 조직 이름 지정 방식을 문의하자 마이크로소프트 위협 정보 센터 사장 존 램버트(John Lambert)는 해커 조직의 이름 지정 방식 변경 사유를 다음과 같이 설명했다. 마이크로소프트가 새로이 지정한 해커 조직의 이름은 조직마다 구분하고 기억하기 쉽고, 검색도 수월하다는 특징이 있다. 램버트 사장은 중성적인 이름이라는 리의 지적과 달리 마이크로소프트 측은 고객이 해커 세력의 이름을 특정 조직의 맥락과 연결 짓고, 국적과 공격 동기를 손쉽게 파악하도록 돕고자 했다고 전했다. (다만, 램버트 사장은 이미 알려진 그룹의 소행이라고 완벽히 확신할 수 없는 공격 유형에는 임시 분류 방식을 적용한다고 언급했다.)
마이크로소프트 측도 해커 조직의 이름을 정할 때 활용할 요소가 118개에 불과할 정도로 부족했다고 전했다. 램버트 사장은 “날씨 특성을 기준으로 해커 조직의 이름을 정하고자 한 이유는 만연한 데다가 피해 수준이 심각하다는 사실을 알릴 수 있으며, 사이버 공격은 시간이 지남에 따라 센서, 데이터 및 분석의 개선이 수반되는 날씨 연구와 유사성이 있기 때문이다. 사이버 보안 방어 세력의 특성도 마찬가지이다”라고 말했다. 날씨 관련 용어 앞에 붙는 형용사는 애널리스트가 긴 단어 목록에서 선택한다. 간혹 의도치 않게 우스운 이름이 부여될 수도 있다. 해커 조직과 의미 혹은 음성적 연관성이 있는 단어를 해커 조직의 이름으로 선택할 때도 있다. 혹은 무작위로 해커 조직의 이름을 선택할 수도 있다. 램버트 사장은 “각각의 해커 조직 이름에는 유래가 있다. 하지만 가끔 아무렇게나 지은 이름도 있다”라고 말했다.
사이버 보안 업계에서 다루는 해커 조직이 갈수록 증가하는 추세에는 어떠한 확고한 논리가 있다. 어느 한 위협 정보 기업이 새로운 네트워크 침입자 팀의 증거를 발견하면, 익숙한 멀웨어와 피해 기관, 명령 및 제어 인프라를 발견하더라도 다른 기업이 발견하고 분류한 것과 같다는 사실을 확신하기 어렵다. 사이버 보안 업계의 경쟁사가 발견한 모든 정보를 공유하지 않는다면, 새로이 발견한 해커 조직이 이미 발견되었다고 추측하지 않고 새로운 이름을 부여하는 것이 좋다. 샌드웜이 텔레봇(Telebots), 부두베어(Voodoo Bear), 하데스(Hades), 아이언 바이킹(Iron Viking), 일렉트럼(Electrum), 시셸 블리자드 등 여러 이름으로도 알려진 이유이다. 같은 해커 조직에 지정된 여러 이름으로 사이버 보안 조직의 각기 다른 정체성을 엿볼 수 있다.
그러나 특정 해커 조직이 여러 이름으로 알려진 것과는 별개로 우스꽝스러운 이름으로 지정해야만 하는 이유가 있는가? 해커 조직에 악의적인 특성을 제외한 이름을 붙이는 것이 어느 정도는 현명한 일일 수도 있다. 예를 들어, 러시아 랜섬웨어 조직 에빌코프(EvilCorp)는 마이크로소프트가 조직 이름을 ‘마나티 템피스트(Manatee Tempest)’로 바꾸는 것을 좋아하지 않을 수도 있다. 반대로 미국 민간 기반 시설의 중요한 요소를 마비시킨 이란 해커 조직의 이름을 이국적인 향의 이름처럼 들리는 ‘민트 샌드스톰’으로 지정한 것이 적절할까? 해당 조직의 옛 명칭인 크라우드스트라이크(Crowdstrike), 차밍 키튼(Charming Kitten) 등도 적합하지는 않을 수도 있다. 언론인과 인권 운동가를 표적으로 삼아 정부에 서비스를 판매한 이스라엘 해커 용병 칸디루(Candiru)의 이름을 던킨 음료에 어울릴 법한 이름인 ‘카라멜 쓰나미(Caramel Tsunami)’로 바꾸는 것이 나을까? 변종 대마초 이름처럼 들리지 않는가?
사이버 보안 기업 맨디언트(Mandiant) 창립자이자 CEO이면서 초기 해커 세력 추적 전문 연구원인 케빈 맨디아(Kevin Mandia)는 2018년, 사이버 보안 위협 정보 회담(Cybersecurity Threat Intelligence Summit) 연설을 통해 해커 조직의 이름 문제를 한 차례 언급하였다. 당시 그는 “기업 이사회에 ‘사이버 보안 침해가 발생해, 언론에 널리 알려졌다. 공격을 개시한 해커 조직 이름은 플러피 스너글 덕이다’라고 보고할 수 있는지 항상 궁금했다. 실제로는 불가능하다”라고 말했다.
맨디아는 5년이 지난 지금 해커 조직의 우스꽝스러운 이름에 더 익숙해졌다는 사실을 인정했다. 그는 “이제는 해커 조직의 이름에 개의치 않는다. 그저 올바른 해커 조직 명칭 분류를 원한다. 해커 조직의 지문이나 방어 체계를 갖추었는지 알고 싶다”라고 말했다.
그러나 맨디아는 와이어드와의 인터뷰에서 맨디언트의 경쟁사인 크라우드스트라이크(Crowdstrike)가 국적에 따라 해커 조직의 이름을 정하는 방식에는 여전히 당황스러워하는 모습을 보였다. 맨디아는 “베어는 러시아를 의미하는가?”라며, 큰 소리로 말하였다. 이어, “판다는 중국 해커 조직을 의미한다. 그러나 판다도 곰이다. 이미 헷갈린다”라고 말했다.
맨디아와 리 모두 미국 국립표준기술원(NIST)과 같은 정부 기관이 사이버 보안 업계 전반에서 채택할 해커 조직의 이름 지정 관행을 언제쯤 확립할 것인지 궁금해한다. 그러나 많은 기업이 정부 차원의 표준화된 해커 조직 이름 지정 방식을 고수하지는 않을 것으로 예상한다. 마케팅 이외에도 사이버 보안 연구의 불확실한 전쟁은 여러 기업의 애널리스트가 항상 조사하는 조직이 같은 조직인지 확신하지 못하기 때문이다. 단, 긴밀히 보호된 정보 수집 사항을 공개적으로 공유하는 데 동의한 때는 예외이다.
정부 차원의 해커 조직 이름 지정 표준이 확립되기 전까지는 ‘페리윙클 템피스트’와 같은 이상한 이름을 사용할 것이다. 2022년, 페리윙클 템피스트는 코스타리카 전역의 전산 마비를 일으킨 랜섬웨어 공격을 개시했다. 이 때문에 코스타리카 정부는 국가 비상사태를 선언했다. 페리윙클 템피스트는 전 세계에서 가장 위험한 해커 조직 중 하나이다. 페리윙클 템피스트는 매우 위험한 조직이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202305/4715_6182_5017.jpg)
뉴스레터 신청