지난 4월 18일부터 21일까지 세계 최대 규모의 사이버보안 합동 훈련인 ‘락드 쉴즈(Locked Shields) 2023’가 에스토니아 탈린에서 개최됐다. 우리나라는 회원국 자격으로 나토 사이버방위센터(CCDCOE) 방침에 따라 튀르키예와 연합팀을 구성해 국가정보원을 필두로 한국전력을 포함한 민관군 11개 기관, 60여명이 참가했다. 락드쉴즈 훈련은 NATO 사이버방위센터(CCDCOE) 회원국(38개국)간 사이버 위기대응 협력체계강화를 위해 2010년부터 매년 개최하고 있는 사이버 훈련이다. 훈련은 3,000여명 이상의 민관군 보안전문가들이 참가해 공격팀(RedTeam)과 방어팀(BlueTeam)을 구성하고 ‘국가 간 사이버전’ 상황을 가정해 가상의 훈련 공간에서 ‘기술 훈련’과 ‘전략 훈련’으로 구분돼 진행된다.
‘기술 훈련’은 사이버 공격에 대한 방어능력 정도를 평가하며 ‘전략 훈련’은 공격상황 발생 시 상황보고·법률 대응 등 다양한 정책적 요소들에대해 평가한다.
최근 국제 정세와 맞물려 락드쉴즈 훈련 참가국과 참가자 수는 증가하는 추세이다. 우리나라는 2021년 훈련 참여를 시작으로 2022년 4월 아시아 국가 최초로 정회원국으로 가입했으며 올해는 우크라이나, 일본 등 4개국이 새로운 회원국으로 등록했다.
전쟁이 불러일으킨 변화
2022년 2월 러시아는 우크라이나에 대한 전면적인 침공을 개시했다. 러시아는 전쟁을 수행함에 있어 기존의 전통적인 무기 수단을 넘어 우크라이나에 사회에 혼란과 불안을 초래할 수 있는 모든 수단을 동원하는 하이브리드전을 전개하고 있다.
하이브리드전은 미국의 전략가인 프랭크 호프만(Frank Hoffman)이 처음 제안한 군사적 전략 이론으로 군사적 요소와 비군사적 요소를 함께활용하는 현대전의 대표적인 전쟁 방식이다. 러시아는 이를 위해 비군사적 요소격인 사이버 공격을 적극적으로 활용하고 있다. 해킹과 더불어 SNS와 딥페이크 기술을 이용해 여론을 조작하는 등 다양한 사이버전을 전개했으며 우크라이나에만 국한되는 것이 아닌 미국, 유럽 등 우크라이나를 지원하는 국가들까지도 공격 대상이 됐다. 이 과정에서 어나니머스 등 다국적 핵티비스트들이 각자 지지하는 국가에 따라 참여해 사이버전이 국제전 형태로 발전되는 특징을 보이기도 했다.
사이버전은 전통적인 재래전 형태와 달리 다음의 <표 1>과 같이 접근의 용이성과 인터넷 환경에서의 익명성을 활용할 수 있는 다양한 장을 가지고 있어 대표적인 비대칭 전력수단으로서 꼽을 수 있다. 세계 최초의 사이버전은 러시아로부터 촉발됐던 2007년 에스토니아 전산망 공격 사태이다. 에스토니아는 1991년 소비에트 연방 붕괴와 함께 독립을 선언하고 2004년 NATO 가입을 통해 미국, 유럽 등 서구 국가들과 협력을 강화하는 친서방주의를 지향해 왔다.
2007년 4월 에스토니아 정부는 친서방정책에 따라 러시아의 영향력에서 벗어나기 위해 소비에트 연방 당시 제작됐던 소련군 전쟁 영웅의동상을 이전을 추진했다. 하지만 러시아계 에스토니아 시민들의 분노로 시위가 발생됐고 러시아는 이를 빌미로 에스토니아의 정부기관과 은행 등에 대규모 사이버 공격을 가해 경제와 사회에 막대한 피해를 입혔다.
이러한 사건은 국제 사회에도 큰 관심을 받았으며 사이버전의 파급 효과와 안보에 영향을 미칠 수 있음을 인식시켰던 중대한 사건이었다. 이를 통해 사이버 안보에 대한 중요성이 부각돼 2008년 5월 에스토니아의 주도로 독일, 이탈리아 등 6개국이 나토 사이버방위센터(CCDCOE)가 에스토니아 탈린에 설립됐다. 이후 2013년에는 사이버전에서 적용되는 국제법을 담은 지침서인 ‘탈린 매뉴얼’이 발간됐다.
2007년 에스토니아 전산망 공격 사태 이후 사이버전은 최근까지도 지속되고 있으며 국가적 분쟁에 따른 관련 주요 사례는 <표 2>와 같이 정리된다.
지금까지 사이버전에 있어 시스템 가용성에 영향을 미치는 DDoS 공격이 주로 사용됐으며 공격 타깃으로는 정부기관과 사회 기반시설들이주요 타깃이 됐다. 이는 최근 발생한 우크라이나・러시아 전쟁에서도 유사한 양상을 보이고 있다. 탈레스에서 발간한 보고서에 따르면 DDoS 공격이 가장 많은 비중을 차지하고 있으며 공격 타깃으로는 공공, 금융, 운송 순으로 비중으로 차지하고 있다. 이와 더불어 우크라이나・러시아 전쟁에서는 지금까지의 사이버전 달리 다음의 특징들을 보이고 있다.
시스템 파괴형 악성코드의 등장
러시아는 우크라이나의 시스템을 파괴하기 위한 목적으로 WhisperGate라는 악성코드를 제작하고 유포했다. WhisperGate는 마스터 부트 레코드(MBR)를 삭제하거나 수정해 시스템이 부팅하지 못하도록하여 시스템을 불능 상태로 빠트리도록 한다. 파일 암호화하는 랜섬웨어와달리 시스템 자체를 사용하지 못하도록 함으로써 최대한 긴 시간 동안 시스템을 복구하지 못하도록 방해하는 것을 목표로 둔다. 이로 인해우크라이나 외무부를 포함한 70여개의 정부기관 웹사이트가 중단됐다. 이후 시설파괴형 악성코드인 HermeticWiper와 Double Zero 등 다양한 파괴형 변종 악성코드가 추가적으로 등장하게 됐다.
딥페이크 기술의 활용
우크라이나・러시아 전쟁에서는 딥페이크 기술이 사이버 심리전을 위해 다음과 같은 다양한 목적으로 활용됐다. 첫 번째로 허위 정보를 유포하기 위해 우크라이나 대통령인 젤렌스키의 얼굴을 합성한 가짜 영상이 SNS에 유포된 사건으로 우크라이나군에게 항복하라고 명령을 담은 내용이었다. 해당 영상은 우크라이나 정부에 의해 가짜로 판명됐고 영상물이 게시된 페이스북과 유튜브에서는 해당 영상을 삭제했다.
두 번째는 여론 조작을 위해 러시아 대통령인 푸틴의 목소리를 딥페이크로 합성해 우크라이나에 대한 공격을 중단하고 평화 협상을 시작할것을 선언하는 영상이 유포되어 전쟁 여론을 조작하는데 러시아 대중들에게 영향을 주게 됐다.
세 번째는 공포심 유발로 우크라이나 접경 지역 러시아 TV와 라디오에서 딥페이크로 합성된 푸틴의 목소리로 계엄령 선포와 총동원령 연설이 해커에 의해 방송됐다. <그림 5> 이후 트위터 등 SNS에서 빠르게 확산됐고 크렘린궁은 국영 방송사를 통해 해명까지 하는 소동을 벌였다.
이번 전쟁을 통해 배포된 딥페이크 콘텐츠들은 제작기술의 한계로 인해 큰 영향력을 발휘하진 못했지만 관련 기술이 빠르게 발전함에 따라인간의 능력으로 판별을 못하는 수준까지 정교화 된다면 미래의 사이버전에서는 딥페이크 기술이 필수적인 요소로 자리잡을 것으로 예상된다.
타겟형 공격과 정보탈취
러시아의 동맹국인 벨라루스의 해킹조직인 고스트라이터는 우크라이나 정부와 군을 대상으로 정보탈취형 악성코드(Infostealer)가 포함된 피싱 메일을 발송했다.
고스트라이터는 필요한 정보와 목표를 달성하기 위해 SNS 등을 통해 대상을 물색하고 지속적이고 지능적인 접근을 시도했다. 이를 통해 확보한 계정 정보를 이용해 시스템 침투와 더불어 우크라이나 국민을 가장하여 SNS에 허위 정보를 게시하는 등 심리전 목적으로 활용되기했다. 또한, 고도화된 피싱 기법 중 하나인 ‘브라우저 인 더 브라우저(BitB)’을 사용해 정보 탈취에 많은 노력을 기울이고 있음을 알 수 있다. 이공격은 브라우저에서 로그인을 할 때 가짜의 로그인 웹페이지가 브라우저창을 통해 보여지게 되는데 일반적인 사용자 입장에서는 이를 판별하기란 불가능한 수준이라 매우 위협적인 공격 수단 중 하나이다.
사이버전 전망과 대응
사이버전은 국제적 분쟁에 있어 이제 선택이 아닌 필수적 요소로 자리잡게 될 것이다. 우리나라 또한 지정학적 위치와 패권국의 경쟁의 소용돌이 속에 사이버 안보 상황이 녹록치 않은 상황으로, 특히 북한의 지속적인 사이버 안보 위협을 방어하기 위해 많은 노력이 필요한 시점이다. 미국 하버드대학교 케네디스쿨 벨퍼 센터가 발표한 국가별 사이버 역량 인덱스(National Cyber Power Index 2022)에 따르면 미국이 가장 높은 순위이며 그 뒤로 중국, 러시아 순으로 조사가 됐고 우크라이나는 12위로 러시아에 비해 여러 측면에서 상당한 격차가 있다.
러시아는 우크라이나 대비 높은 수준의 사이버 역량을 가지고 있음에도 불구하고 이번 사이버전에서 예상보다 큰 효과를 거두지 못한 것으로 평가되고 있다. 이는 우크라이나가 2014년 크림반도 분쟁을 통해 겪은 경험과 다음과 같은 핵심 방어전략이 있었기에 대응이 됐던 것으로 마이크로소프트 분석 보고서에서는 밝히고 있다.
1) 디지털 자산을 클라우드 등을 통해 다른 국가에 분산배치. 이는 시스템 파괴형 악성코드인 와이퍼 공격으로부터 피해를 최소화 시킬 수있었으며 피해 발생시 이를 활용하여 빠른 시간에 서비스 복구를 완료할 수 있었다.
2) AI 기술과 사이버 위협정보 등을 활용한 진보된 엔드 포인트 보호 기술 사용. 이를 통해 악성 행위를 조기에 탐지 식별하고 차단할 수 있었다.
백업・복구 체계와 엔드포인트 보안에 대한 중요성을 보여준 사례로 앞으로도 사이버전에 대응하기 위한 중요한 요소로 작용하게 될 것이다. NATO 사이버방위센터(CCDCOE)는 락드쉴즈 훈련과 더불어 사이버 보안 컨퍼런스인 Cycon을 매년 개최하고 있다. 이를 통해 사이버 안에 대한 최신 동향과 연구기술들을 공유함으로써 사이버 보안 역량을 지속적으로 강화하고 있다.
이러한 결과로 락드쉴즈 훈련은 높은 수준의 훈련 체계와 인프라를 갖추게 됐고 참여하는 국가들 또한 이에 맞춰 역량이 강화되고 있는 상황이다. 우리나라 또한 이번 훈련 참여를 통해 이들이 가진 선진 보안체계와 노하우를 습득하는데 많은 도움이 됐다. 따라서 미래의 사이버전 대응에 있어 국가적 협력체계는 매우 중요할 것이며 이를 위한 인력 양성과 역량 강화는 필연적으로 따르게 될 것이다,
김종관 한전 정보보안실 부장 keaj@kea.kr
