美핵무기까지 노렸다, 추운 나라에서 온 해커의 은밀한 공격

미국 백악관은 지난 12일(현지시간) 토요일인데도 불구하고 국가안전보장회의(NSC)를 긴급히 소집했다. NSC 긴급 소집은 미국의 국가안보가 위협을 받았다는 뜻이다. 최고 사령관인 도널드 트럼프 미 대통령이 국방장관과 합동참모의장 등을 불러 위기 사안을 논의했다. 이 자리에선 핵무기 사용을 비롯한 군사 작전을 거론할 수 있다.

누가 NSC를 급하게 열도록 만들었을까. 러시아였다.

그리고 미국 정부 부처와 기관이 대규모 해킹 공격을 당했다는 소식이 전해졌다. 외국의 해커 집단이 국무부ㆍ재무부를 시작으로 국토안보부, 국립보건원(NIH) 뿐만 아니라 핵무기를 관리하는 에너지부ㆍ핵안보국(NNSA)의 내부망까지 침입한 것으로 드러났다.

여기에 백악관과 마이크로소프트(MS)도 해킹 피해자 명단에 올랐다. 전례를 찾아보기 힘들 정도로 미국이 막대한 피해를 봤다는 평가다.

미 정부의 사이버 보안을 책임지고 있는 사이버ㆍ인프라 보안국(CISA)은 비상령을 내렸다.

냉전은 끝났다. 1989년 독일 분단의 상징인 베를린 장벽과 함께 냉전은 사실상 무너졌다. 1991년 소련의 해체는 냉전의 사망진단서였다.

하지만, 현실 세계의 냉전과 달리 가상 공간의 미·러 냉전은 아직도 진행형이다. 아니 점점 더 거세져 냉전(冷戰ㆍCold War)보다는 열전(熱戰ㆍHot War)이 더 적합한 표현이다. 미국과 러시아 사이 사이버 전쟁은 현실 세계의 냉전과 비교하면 은밀하게 이뤄진다는 점에서 닮았지만, 규모와 강도는 현실을 압도한다.

미 정부는 아직 공식적으로 해킹 가해자를 지목하지는 않았다. 그러나 마이크 폼페이오 미 국무부 장관은 라디오 ‘마크 레빈 쇼’와의 인터뷰에서 “러시아가 연루됐다는 것을 꽤 확실하게 말할 수 있다”고 말했다.

조 바이든 미 대통령 당선인은 “(취임 후) 이런 악의적인 공격에 책임 있는 이들에게 응분의 대가를 치르게 할 것”이라며 “미국에 대한 사이버 공격에 대해 팔짱을 끼고 지켜보지는 않겠다”고 경고했다. 보복을 암시한 발언이었다. 물론 러시아 외교부는 각종 의혹에 대해 부인했다.

해킹은 이렇게 이뤄졌다. 해킹 손해를 입은 미국의 부처ㆍ기관은 모두 솔라윈즈라는 회사의 오리온(Orion)이라는 시스템을 사용하고 있다. 해커는 오리온의 업데이트 서버를 뚫은 뒤 여기에 악성코드를 심었다. 오리온의 시스템 업데이트를 가장해 미국 정부ㆍ기관의 시스템에 침입할 수 있었다.

보안 전문가인 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “해커는 처음엔 악성코드가 들어간 e메일로 해킹하는 스피어피싱 수법을 사용하려 했을 것”이라면서 “외부 e메일을 함부로 열지 못하게 하는 미 정부ㆍ기관의 내부 규정 때문에 침투가 어려워지자 오랜 기간 솔라윈즈를 찔러봐 보안 허점을 찾았을 것”이라고 추정했다. 집요하고 끈질긴 공격이었다는 게 문 센터장의 평가다.

배후가 러시아 정부라면, 범인은 누굴까. '코지 베어(Cozy Bear)'라는 해커 집단이 주범으로 꼽힌다.

코지 베어는 팬시 베어(Fancy Bear)와 함께 러시아의 대표적 해킹그룹이다. 각 해킹그룹의 대표적 해커의 아이디에서 나온 이름들이다. 보안 업계에선 각각 APT29와 ATP28로 분류한다. 곰(베어ㆍBear)이라는 명칭은 러시아의 상징인 불곰을 연상케 한다. 두 집단 모두 러시아의 정보기관과 관련이 있다는 게 공통점이다.

거슬러 올라가면 냉전 때 옛 소련의 대표적 정보기관이었던 국가보안위원회(KGB)와 정보총국(GRU)과 닿는다. 이들을 ‘추운 나라에서 돌아온 해커’라 부르는 이유다.

코지 베어의 뒷배는 러시아의 대내 정보기관인 연방정보국(FSB) 또는 해외 정보기관인 대외정보국(SVR)으로 보인다. FSB와 SVR은 KGB의 후신이다.

팬시 베어의 전과는 화려하다. 2017년 3월 미 법무부는 2014년 포털 야후를 해킹한 사건의 용의자로 FSB 요원 2명과 이들이 고용한 해커 2명을 기소했다.

미 법무부에 따르면 이들 해킹의 피해자는 야후뿐만 아니라 미 정부 부처, 다국적 기업, 금융사, 항공사 등이 포함됐다. 올해 7월 영국의 국립사이버안보센터(NCSC)는 APT29가 영국 학계와 제약 업계의 신종 코로나바이러스 감염증(코로나19) 백신 연구 결과를 탈취하려 했다고 발표했다.

이들은 또 미 정부 부처ㆍ기관 해킹에 앞서 미국 보안회사인 파이어아이(FireEye)의 보안툴을 해킹하는 대담성을 보였다.

차르(Tsar) 팀이라고도 불리는 팬시 베어는 러시아 정부의 국익에 관련한 해킹을 전담한다. 이는 팬시 베어의 배후인 GRU의 영향이다.

GRU는 러시아 총참모부(합동참모본부) 산하 부서다. 한국의 국방정보본부ㆍ정보사령부와 같은 임무를 맡는다. GRU는 해외 군사 정보를 수집ㆍ분석하면서 정보 공작도 벌인다. 러시아 최고의 특수부대인 스페츠나츠는 GRU의 통제를 받는다.

옛 소련의 정보기관하면 대부분 KGB를 떠올리지만, GRU는 KGB 못잖은 실력을 갖췄다. KGB가 FSB와 SVR로 나뉘었지만, GRU는 예전 조직과 인원을 그대로 유지하면서 위세가 더 세졌다는 평가다.

2016년 미 대선을 앞두고 민주당 전국위원회(DNC) 해킹은 팬시 베어의 소행이다. 팬시 베어는 당시 힐러리 클린턴 민주당 대선캠프의 존 포데스타 본부장의 계정을 탈취해 5만건의 e메일을 훔쳤다. 여기서 빼낸 정보는 폭로 전문의 위키리크스에 보내졌다.

위키리크스는 민감한 e메일을 대거 공개하면서 힐러리 전 후보에게 타격을 줬다. 블라디미르 푸틴 러시아 대통령이 트럼프 당시 공화당 후보를 밀어주기 위한 정보 공작이었다.

팬시 베어는 러시아에 우호적이지 않은 프랑스의 에마뉘엘 마크롱 대통령과 독일의 앙헬라 메르켈 총리를 떨어뜨리기 위한 해킹도 서슴지 않았다.

GRU는 샌드웜팀(Sandworm Team) 또는 74455 부대(Unit 74455)라는 해커 집단도 운영하고 있다. 샌드웜팀은 2015년과 2016년 우크라이나의 수도인 키에프에서 벌어진 대규모 정전사태의 주범이다. 조사 결과 블랙에너지 3(BlackEnergy 3)라는 악성코드가 전력망을 운영하는 시스템에 심어졌기 때문에 벌어진 사태였다.

블랙에너지 3는 샌드웜팀의 작품이다. 러시아는 크림반도 영유권을 놓고 2014년부터 우크라이나와 분쟁을 벌이고 있다.

이처럼 코지 베어와 팬시 베어는 러시아의 국익을 위해 음지에서 뛰지만, 차이점이 있다. 코지 베어는 해킹으로 정보를 얻는 데 주력하지만, 팬시 베어는 훔친 정보로 모략과 공작을 펴는 데 능하다.

익명을 요구하는 보안 전문가는 “APT29는 합법적인 트래픽을 유사하게 흉내 내는 방식의 해킹을 잘한다”며 “특히 해킹 탐지를 피하기 위해 해킹 툴을 빠르게 변조하는 능력이 뛰어나다”고 설명했다.

그는 “APT28은 모스크바나 상트페테르부르크와 같은 러시아 주요 도시의 표준 시간대 기준으로 일과 시간(오전 8시~오후 6시) 동안 러시아 언어 설정을 사용해 악성코드를 컴파일하는 특징이 있다”며 “이는 APT28이 러시아 정부를 위해 일하는 것으로 추정하는 정황 중 하나”라고 말했다.

아직 러시아 해킹의 주적은 미국이다. 미국의 국가정보국(DNI)은 지난해 의회에 낸 세계 위협 분석(World Threat Assessment)에서 러시아를 중국·이란·북한·테러집단과 함께 사이버 위협으로 꼽았다.

손영동 한양대 융합국방학과 초빙교수는 “세계 위협 보고서에서 미국은 러시아의 사이버 위협을 가장 심각하다고 여긴다”며 “다른 나라와 달리 러시아가 인프라 파괴나 선거 개입을 노리고 있기 때문”이라고 말했다.

손 교수는 “러시아는 해킹을 기술 정보를 훔치려는 중국과 달리 미국과의 헤게모니 싸움에서 이기기 위한 복합전쟁(hybrid warfare)의 수단으로 여긴다”고 말했다. 비선형 전쟁(non-linear warfare)이라고도 불리는 하이브리드 전쟁에서 이기려면 전통적인 군사적 수단 말고도 여론조작ㆍ프로파간다ㆍ사이버 공격ㆍ경제봉쇄ㆍ외교정책 등 비군사적 수단을 함께 써야 한다는 이론이다.

문 센터장은 “한국에 대한 사이버 공격의 출처는 북한이 가장 많고, 그다음으로 중국이며, 러시아는 적다”며 “비율로 보자면 7(북한) 대 2(중국) 대 1(러시아)”이라고 말했다.

러시아는 마음만 먹으면 한국을 손쉽게 해킹할 수 있다는 사실을 이미 과시했다. 2018년 평창 겨울 올림픽 당시 한국에 대한 사이버 공격을 감행해 전산망을 난도질했다.

국제올림픽위원회(IOC)가 조직적 약물 복용을 들며 러시아 국가 대표팀의 참가 자격을 박탈한 데 대한 보복 차원이었다. 미 법무부는 해킹에 가담한 GRU 장교 6명을 기소했다. 이들은 모두 샌드웜팀 소속으로 보인다.

해킹으로 평창 올림픽 운영 시스템이 멈추자 다들 북한을 먼저 의심했다. 실제로 러시아 샌드웜팀은 북한의 소행으로 위장하는 꼼수를 사용했다.

문 센터장은 “당시 러시아가 해킹에 동원한 e메일을 분석해보면 맞춤법이 틀리고, 비문(非文)이 많았다”며 “이같은 e메일을 의심하지 않고 첨부파일을 열어본 게 패착이었다”고 말했다.

손 교수는 “러시아가 한국에 대한 전략적 이익이 크지 않기 때문에 한국에 대한 해킹을 덜 하는 것”이라고 설명했다. 한국과 한반도에 대한 러시아의 관심이 커지면 커질수록 ‘추운 나라에서 돌아온 해커’가 이 땅에서 기승을 벌일 것이다. 러시아가 평창에서처럼 한국을 대상으로 한 사이버 공격을 벌인 뒤 북한에 뒤집어씌울 가능성이 크다. 한국이 엉뚱하게 북한에 책임을 엄중히 묻는다면 자칫 한반도에 위기상황을 불러올 수도 있다.

익명의 보안 전문가는 "한국은 러시아 해킹에 대한 정보가 적다"며 "'소 잃고 외양간 고치기' 전에 충분히 준비해야 한다. 러시아 해킹 능력은 북한보다 훨씬 위"라고 강조했다.

이철재 기자 seajay@joongang.co.kr