사이버 보안: 왜 서방 국가의 해킹 공격 소식은 드물까?

러시아 테크기업의 아이폰을 탈취한 사이버 공격이 미 정부기관 해커들의 소행이라는 주장이 제기되고 있다. 이번 공격과 러시아 정부의 대응이 사이버 공간에서 ‘영웅’과 ‘악당’의 서사를 바꿀 수 있을까?

‘코스믹 울프’, ‘스타더스트 촐리마’, ‘팬시 베어’, ‘위키드 판다’. 최신 마블 영화 속 슈퍼히어로가 아니다. 세계에서 가장 악명 높은 해킹 그룹들의 이름이다.

이 사이버 엘리트 팀들은 수년 동안 기밀을 훔치고 혼란을 야기하는 등 해킹을 일삼아 추적당해 왔다. 그리고 이 팀들이 각국 정부의 지시를 받았다는 의혹이 있다.

• ‘7400억원 규모 암호화폐 게임 해킹 배후에 북한 해커’
• 북한 해커조직 ‘김수키’가 뭐길래… 한국 독자제재 실효성은?

사이버 보안 기업들은 이 해커들을 만화로 그리기도 했다.

이런 보안 기업의 영업 담당자들은 세계 지도에서 러시아·중국·북한·이란 등에 점을 찍고 ‘지능형지속 위협'(APT)의 발생 위치를 고객에게 정기적으로 경고한다.

그런데 지도의 어떤 영역은 눈에 띄게 비어 있다.

서방 국가의 해킹 팀과 사이버 공격에 대한 소식은 왜 이렇게 드문 걸까?

이달 초 러시아에서 드러난 대규모 해킹이 단서를 제공할 수도 있다.

사이버 보안 회사의 한 직원이 모스크바 운하가 내려다보이는 책상에 앉아 회사 와이파이 네트워크상의 수상한 움직임을 확인했다.

직원들의 휴대전화 수십 대가 동시에 인터넷 어디론가 정보를 보내고 있었다.

하지만 이 회사는 평범한 회사가 아니었다.

이 회사는 러시아 최대 사이버 보안 기업 ‘카스퍼스키’였고, 내부 직원에 대한 공격 가능성을 조사하는 중이었다.

이고르 쿠즈네초프 수석 보안 연구원은 “당연히 스파이웨어를 떠올렸지만 처음에는 꽤 회의적이었다”고 말한다.

“휴대전화를 스파이 장치로 만들어버리는 강력한 사이버 공격에 대해서는 누구나 들어봤겠지만, 저는 이것이 다른 곳에서 다른 사람에게나 일어나는 일종의 도시 전설이라고 생각했습니다.”

감염된 아이폰 “수십 대”를 면밀히 분석한 후, 이고르는 자신의 직감이 옳았다는 것을 깨달았다. 실제로 자사 직원들을 대상으로 대규모의 정교한 감시가 이뤄진 것이다.

그들이 발견한 해킹은 사이버 보안 관계자에게는 악몽과도 같은 공격이었다.

해커들은 악성 소프트웨어가 깔린 기기에 자동 삭제되는 ‘아이메시지’를 보내는 것만으로 아이폰을 감염시키는 방법을 만들어냈다.

이고르는 “이렇게 해킹돼도 전혀 눈치채지 못한다”고 설명한다.

‘정찰 작전’

해킹 피해자의 모든 휴대전화 내용은 정기적으로 공격자에게 보내지고 있었다. 메시지·이메일·사진은 물론, 카메라와 마이크 접근 권한까지 넘어갔다.

이고르는 ‘비난할 대상을 찾지 말라’는 카스퍼스키의 오랜 원칙을 바탕으로 이번 디지털 스파이 공격이 시작된 위치에 대해서는 관심이 없다고 말한다.

그는 “사이버 공격에는 국적이 없다. 특정 국가에 사이버 공격의 책임을 돌린다면, 거기에는 의도가 있는 것”이라고 설명했다.

하지만 러시아 정부의 견해는 다른 듯하다.

카스퍼스키가 해킹 발견을 발표한 당일, 러시아 정보기관 연방보안국은 긴급 성명을 통해 “애플 모바일 기기를 이용한 미국 정보기관의 정찰 작전을 발견했다”고 발표했다.

러시아 사이버 정보국은 카스퍼스키라는 이름을 언급하지 않았지만 러시아인과 외국 외교관 소유의 “휴대전화 수천 대”가 감염됐다고 주장했다.

심지어 애플이 해킹 작전을 적극 지원했다고 비난하기도 했다. 애플은 해당 사실을 부인했다.

범인으로 추정되는 미국 국가안보국(NSA)은 BBC 뉴스에 ‘노코멘트’라고 답했다.

이고르는 카스퍼스키가 러시아 보안국과 협력하지 않았으며 정부 발표에 놀랐다고 주장한다.

사이버 보안 업계는 이 상황에 놀랐을 수도 있다. 러시아 정부가 효과를 극대화하기 위해 카스퍼스키와 공동 발표를 하는 것처럼 보였기 때문이다. 공동 발표는 서방 국가들이 해킹 작전을 폭로하고 큰 소리로 비난할 때 점점 더 많이 사용하는 방식이다.

지난달만 해도 미국 정부는 마이크로소프트와의 공동 발표를 통해 중국 정부기관 소속 해커들이 미국 관할의 에너지 네트워크에 숨어 있는 것을 발견했다고 발표했다.

이 발표가 있자마자 미국의 기밀정보 공유동맹 영국·호주·캐나다·뉴질랜드(파이브아이즈)가 예상대로 신속하게 동조의 목소리를 높였다.

이에 대해 중국은 이 모든 상황이 파이브아이즈 국가들의 ‘집단적 허위 정보 작전’의 일환이라며 해킹을 빠르게 부인했다.

중국 외교부 마오닝 대변인은 항상 하던 답변을 덧붙였다. “미국이야말로 해킹의 제국입니다.”

‘표적은 중국’

하지만 이제 중국은 러시아와 마찬가지로 서방의 해킹에 대해 더 공격적인 대응을 진행하는 듯하다.

중국 관영 영자신문 ‘차이나데일리’는 현재 중국의 가장 큰 사이버 보안 위협은 외국 정부의 지원을 받는 해커들이라고 경고했다.

이 경고와 함께 중국 회사 ‘360시큐리티’가 통계를 발표했는데, 통계 가운데 “중국을 표적으로 삼는 해커 조직 51개”를 발견했다는 내용이 있었다.

360시큐리티는 의견 요청에 답하지 않았다.

지난 9월 중국은 미국이 항공·우주 연구 프로그램을 진행하는 정부 지원 대학을 해킹했다고 비난하기도 했다.

‘페어플레이’

전직 사이버 정보 요원인 스티브 스톤 루브릭제로랩스 대표는 “중국과 러시아는 서방 국가의 사이버 폭로 모델이 매우 효과적이라는 사실을 서서히 알아차렸고, 변화가 일어나는 중인 것 같다”고 말했다.

“저는 좋은 변화라고 생각합니다. 이런 국가에서 서방 국가들이 뭘 하는지 밝히는 것에 아무 반대도 없습니다. 페어플레이라고 생각하며 적절한 대응이라고 생각합니다.”

많은 사람들은 미국을 해킹의 제국이라고 부르는 중국의 주장이 과장됐다고 일축하지만, 그 안에는 어느 정도의 진실도 있다.

국제전략문제연구소(IISS)에 따르면 미국은 공격·방어·영향력을 기준으로 볼 때 세계 유일의 1등급 사이버 강국이다.

1등급에는 다음 국가가 포함된다.

• 중국
• 러시아
• 영국
• 호주
• 프랑스
• 이스라엘
• 캐나다

벨퍼 과학국제문제연구소 연구원들이 집계한 국가 사이버 파워 지수에서도 미국이 세계 최고의 사이버 강국으로 평가됐다.

연례 보고서를 작성한 줄리아 부 수석 연구원도 변화를 감지했다.

설명에 따르면, “정부의 스파이 활동은 일상이며, 이제는 사이버 공격의 형태로 자주 발생한다. 이와 관련해 내러티브 싸움이 벌어지고 있으며, 각국 정부는 사이버 공간에서 책임 소재를 지적하고 있다”는 것이다.

APT 해킹 그룹의 목록을 작성하면서 서방 세계에는 해킹 그룹이 없는 척하는 것은 진실한 현실 묘사라고 볼 수 없다.

줄리아 부는 “해킹 공격에 대한 보고서를 한 쪽 편에서만 읽는 것은 대중의 무지를 조장한다”고 말한다.

또한, “앞으로 사이버 공간에서 국가 간에 많은 갈등이 벌어질 테니, 이를 대중에게 교육하는 것이 중요하다”고 덧붙였다.

부 연구원은 영국 정부가 국가사이버부대(NCF) 운영에 관해 최초의 투명성 보고서를 발간한 것을 높이 평가했다.

그는 “내용이 아주 상세하지는 않지만 다른 나라에 비해서는 많은 내용을 담았다”고 말했다.

‘데이터 편향’

그러나 투명성 부족은 사이버 보안 회사에서 비롯된 것일 수도 있다.

스톤 루브릭제로랩스 대표는 이를 ‘데이터 편향’이라고 부른다. 서방 국가의 사이버 보안 회사들은 경쟁 국가에는 고객이 없기 때문에 대규모 해킹들을 발견하지 못한다.

한편, 일부 조사에는 소극적으로 접근하는 의식적인 판단도 반영됐을 수 있다.

스톤은 “서방의 공격에 대해 알고 있는 정보를 축소하거나 은폐하려는 기업들이 존재한다는 것을 의심하지 않는다”고 말한다.

다만, 본인이 고의로 정보를 은폐하는 팀에 속했던 적은 없다.

많은 사이버 보안 대기업의 주요 계약 상대방이 영국이나 미국 정부 등이고 이를 통해 매력적인 수익을 올린다는 점도 주목할 만하다.

중동 지역의 한 사이버 보안 연구원은 “사이버 보안 인텔리전스 부문에서 서방 세계 업체들이 큰 비중을 차지하며, 고객의 관심과 니즈가 이들에게 큰 영향을 미친다”고 말했다.

익명을 요구한 이 전문가는 ‘APT 구글시트’에 정기적으로 기여하는 자원봉사자 12여 명에 속한다. APT 구글시트는 출처에 관계없이 알려진 모든 위협 활동 사례를 추적하는 무료 온라인 스프레드시트다.

또한, 전문가는 이 스프레드시트에 ‘롱혼’, ‘스노우글로브’, ‘가십걸’과 같은 별명을 가진 “나토” 국가들의 APT 탭이 있지만, 다른 지역·국가의 탭에 비해 내용이 빈약함을 인정했다.

‘잡음은 더 적게 ‘

해당 전문가는 서방 국가가 더 은밀하게 접근하고 부수적인 피해 유발이 비교적 적다는 것을 이들의 사이버 공격 정보가 부족한 또 다른 이유로 꼽았다.

그는 “서방 국가는 보다 정교하고 전략적인 방식으로 사이버 작전을 수행하는 경향이 있다. 이는 이란이나 러시아 같은 국가들이 더 공격적이고 광범위하게 공격하는 모습과는 대조적”이라며 “그 결과 서방 국가의 사이버 작전에서 잡음이 더 적은 경우가 많다”고 설명했다.

정보 부족의 또 다른 측면에는 신뢰도 문제가 있다.

러시아나 중국의 해킹 주장은 증거가 부족한 경우가 많아 쉽게 일축되곤 한다.

하지만 서방 정부가 큰 소리를 내며 러시아나 중국을 꾸준히 지목할 때도 증거를 제시하는 경우는 거의 없다.