우크라이나의 해커들이 모인 ‘IT 군단(IT Army)’은 매일 새로운 타겟 명단을 공유하고 있다. 자원자들로 이뤄진 이 해커 단체는 과도한 트래픽으로 서버를 마비시키는 디도스 공격을 연쇄적으로 펼쳐 러시아 웹사이트들을 다운시키는데 이들은 전쟁이 시작되자 이러한 활동을 시작한 것이다.

러시아 온라인 결제 서비스, 정부 기관, 항공사, 식품 배달 회사 등이 IT 군단의 타겟이 되고 있으며, 이들의 목적은 러시아인들의 일상을 불편하게 만드는 것이다. 4월 중순 “오늘 러시아인들은 TV 스트리밍 서비스에서 지속적으로 장애가 발생하는 것을 발견했다”라고 러시아 정부 텔레그램 채널이 글을 올렸다.

IT 군단의 활동은 이제 막 시작에 불과하다. 러시아가 2월 말 우크라이나를 침공한 이후, 러시아는 전례없는 해킹 세례를 받고 있다. IT 군단은 우크라이나군과 전 세계에서 모인 외국인들로 구성된 해커운동가 단체이며, 러시아 정부와 사업체를 타겟으로 하고 있다. 디도스 공격이 대부분이지만, 러시아를 표적으로 설계된 랜섬웨어도 포착되고 있다고 한다. 또한 더 정교하게 공격하는 버그를 러시아 시스템에 심은 것이 잡히기도 했다.

최근의 사이버 공격들은 이전과 극명하게 다른 것이 있다. 많은 사이버 범죄자와 랜섬웨어 단체 들이 러시아와 연관돼 있고, 이들은 러시아를 타겟으로 하지 않는다. 그런데 상황이 바뀐 것이다. 보안 회사 디지털 섀도우(Digital Shadows)의 사이버 위협 정보 분석가 스테파노 드 블라시는 “러시아는 전형적으로 사이버 공격을 하는 국가이지 받는 국가로 여겨지지 않는다”라고 말했다.

전쟁의 시작과 함께 러시아에 대한 디도스 공격은 끊이지 않았다. 러시아와 우크라이나 두 국가 모두 서로에 대해 디도스 공격을 했으나 우크라이나의 공격이 더 혁신적이고 오래가는 것으로 전해진다.

우크라이나의 테크 기업들은 인기 컴퓨터 퍼즐 게임 ‘2048’을 쉽게 디도스 공격 툴로 바꿨고, 전문 지식이 없어도 누구라도 게임에 들어와 공격에 참여할 수 있게 만들었다. 3월 24일 IT 군단의 텔레그램 채널에 보내진 메시지에는 “자동 공격 툴을 많이 이용할수록 우리의 공격은 더 강해진다”라고 써있던 것으로 전해진다. 이 채널의 운영자들은 사람들에게 VPN을 이용해 위치를 숨기고 타겟이 디도스 보호를 받지 못하도록 만들라고 촉구하고 있다. 4월 말이 되어가는 현재 IT 군단은 자신들의 웹사이트를 열었다. 여기에서 이들은 타겟들이 온라인 상태인지 다운된 상태인지를 알려주며, 기술적 안내도 하고 있다. IT 군단은 이에 대해 아직 언론에 입장 표명을 하지 않고 있다고 한다.

우크라이나 사이버 보안 스타트업 핵켄(Hacken)의 CEO 드미트로 부도린은 “우리가 아주 강한 공격들을 했고, 많은 웹사이트들이 마비됐다”라고 말했다. 전쟁이 시작되자 부도린과 동료들은 회사의 안티도스툴 중 하나를 디도스 공격용으로 바꿨다고 한다.

러시아 사이버 보안 회사 카스퍼스키(Kaspersky)의 분석에 따르면, 전 세계 디도스 공격의 수가 전쟁이 일어나는 동안 보통 수준으로 돌아갔다고 하지만, 지속 시간은 더 오래가는 것들이라고 한다. 이들의 분석에 따르면, 가장 길게 지속된 시간은 177시간 이상, 무려 1주일인 것으로 나타났다. 참고로 3월 25일 미국 정부는 카스퍼스키를 미국의 국가안보위협 리스트에 추가했다. 카스퍼스키는 이에 불만을 표했는데, 3월 15일 독일의 사이버보안 당국도 카스퍼스키의 소프트웨어를 사용하는 것에 대해 경고한 바 있다.

부도린은 디도스가 우크라이나인들이 러시아에 맞서는 데 기여할 수 있게 해준다고 말했다. 또한 우크라이나와 러시아 양국 모두 공격과 방어가 향상되고 있다고 한다. 그러나 디도스가 전쟁에 큰 영향을 끼치지는 않는다는 것을 인정했다. 그는 “마지막 목표와 관련해 큰 효과는 없다. 마지막 목표는 전쟁을 멈추는 것이다”라고 말했다.

러시아가 전면적인 공격을 시작한 이후, 러시아의 해커들이 우크라이나의 전력 시스템을 방해 및 정부 웹사이트를 공격하려는 것이 포착됐다. 그러나 지금은 이 시도들이 줄어들었다고 우크라이나 관료들은 말한다. 4월 20일 우크라이나 사이버보안국 국장 유리 슈치홀은 “최근 적들은 이전만큼 준비하지 못하면서 공격 수준이 떨어졌다. 적들은 지금 자신들을 지키는 데 대부분의 시간을 보낸다. 이들의 시스템이 취약해졌기 때문이다”라고 말했다.

해커운동가들과 그 밖에 러시아에 사이버 공격을 가하는 이들이 수백 기가바이트의 러시아 데이터와 수백만 건의 이메일을 빼서 공개했다고 한다. 이러한 데이터는 러시아 정부에 대한 정보를 얻는 데 도움이 된다.

부도린은 자신의 회사 핵켄의 기술을 디도스 공격의 발판으로 삼는 것을 넘어 사람들이 러시아 시스템 보안의 취약한 부분을 찾아 보고할 수 있는 버그바운티 프로그램을 만들었다고 말했다. 지금까지 3천 건 이상의 보고가 있었는데, 데이터베이스, 로그인 정보, 원격으로 러시아의 시스템을 움직일 수 있는 코드 등 치명적인 정보들의 유출이 여기에 포함된다고 한다. 핵켄은 보고된 취약점을 확인하고 이에 대한 정보를 우크라이나 정부 당국에 넘겨준다. 

그러나 사이버 전쟁은 대체로 눈에 띄지 않는 곳에서 일어난다. 이 때문에 디지털 섀도우의 드 블라시는 “뭔가가 있다는 것을 발견하기까지 수 년을 기다려야 할 수도 있다”라고 말했다.

3월 초에는 새로운 종류의 랜섬웨어가 발견됐다. 대부분의 랜섬웨어 그룹이 러시아와 연관돼 있지만, 새로운 랜섬웨어는 러시아 기관들을 공격하도록 설계됐다고 한다. 보안회사 트렌드 마이크로(Trend Micro)는 “나, RU_랜섬의 크리에이터는 이 멀웨어를 러시아에 피해를 주기 위해 만들었다”라고 랜섬노트가 말하고 있다고 했다. 이 멀웨어는 웜으로 퍼질 수 있고 데이터를 지워버린다. 그러나 3월 초 기준 아직까지 실제로 이 멀웨어가 발견되지는 않은 것으로 알려진다. 이스라엘 사이버보안 회사 체크포인트(Check Point)의 위협정보연구부의 로템 핀켈스타인은 “특히 러시아를 타겟으로 하는 랜섬웨어는 보기 드물다”라고 말했다. 그리고는 “러시아는 이제 이전에는 보지 못한 공격을 겪고 있다”라고 덧붙였다.  

러시아에 대한 사이버 공격이 늘어나고 있는 가운데, 이러한 움직임이 러시아를 더욱 인터넷 상에서 고립되게 만들고 있다는 분석도 있다. 지난 몇 년 동안 러시아 정부는 독립적인 자체 인터넷을 구축하고 글로벌 시스템에서 벗어나는 것에 대해 논의해 왔다. 디도스 공격이 시작되자 러시아는 정부 웹사이트들에 울타리를 치는 것으로 보이고 있다. 그리고 3월 초 러시아 국영 미디어들은 러시아의 디지털 개발부가 러시아의 웹사이트들에 사이버보안 조치를 향상시키고 자체 도메인을 통제하라고 말했다고 보도했다.

사이버보안 연구자이자 컨설턴트인 루카스 올레즈니크는 “인터넷 연결을 완전히 끊는 것은 극단적인 접근법이다. 더욱이 러시아 정부는 사이버 공격이나 또는 서방의 제재로 별 일이 일어나지 않은 것처럼 자기부정을 하고 있다”라고 말했다. 그러나 이러한 부정에도 불구하고 러시아는 여전히 인터넷 독립이라는 장기적인 목표를 밀어붙이고 있다고 올레즈니크는 덧붙였다.

[위키리크스한국 = 최정미 기자]

prtjami@wikileaks-kr.org

최정미 기자 다른기사 보기

• facebook
• 트위터
• 카카오톡
• 네이버블로그
• 유튜브