• KIMA Newsletter

    러시아 사이버 공격 vs 미국 사이버 방어 [제910호]
      발행일  2021-01-07
    KIMA NewsLetter [제910호, 2021.01.07] 러시아 사이버 공격 VS 미국 사이버 방어.pdf



    미국 내 국가안보 전문가들은 미국 도널드 트럼프 대통령의 가장 큰 실책 중 하나를 미국 국방성, 방위산업체와 부품업체에 대한 광범위한 러시아의 해킹에 대해 소홀히 대응한 것을 든다.  

     

    지난 1월 4일『뉴욕타임스 국제판(The New York Times International Edition)』은 미 국방성 사이버사령관(USCYBERCOM) 폴 나카소네 육군대장의 의회 청문회 증언 내용을 통해 2016년 11월과 지난해 11월 3일 대선 기간 등 민감한 시기를 포함하여 러시아 해외정보국(SVR-RF)이 어떻게 미국에 대해 광범위한 사이버 해킹을 하였는가를 보도하였다.  

     

    우선 미국은 사이버 도메인을 전투공간으로 간주하지 않고 적의 사이버 해킹을 사이버 방어(Cyber Defense) 개념으로 대응하고 있다.  

     

    그러나 러시아 해외정보국은 미국 내 국방 산업기반체계에 대해 매우 공세적이고 은밀하게 사이버 공격(Cyber Attack)을 아무런 제재를 받지 않고 실시하였다.  

     

    또한, 러시아 해외정보국은 미 국방성뿐만 아니라, 방위산업체와 이들에게 부품을 공급하는 중소형 부품공급 업체들에 대해서도 사이버 공격을 하였다.  

     

    『뉴욕타임스(NYT)』는 폴 나카소네 사령관이 사이버 사령관으로 취임한 이후 약 9개월 동안 확인한 바에 의하면, 약 250개의 주요 연방정부와 이들을 지원하는 각종 민간 사업체에 대해 사이버 공격을 가한 것으로 보도하였다.  

     

    또한 러시아 해외정보국이 그동안 사이버 공격을 통해 무엇을 해킹하였는지를 알 수 없어 대응이 갈수록 어렵다는 것이다.

     

    특히 중소형 민간 부품업체의 경우 “국방성-대기업형 방산업체-중소형 부품업체” 간 supply-chain system에 의해 피해를 우려하는 중소형 부품업체들은 부품공급에 불이익을 받을 것을 우려하여 공개하지 않고(shrounded) 자체적으로 재발 방지 등의 임시적 대응만 하고 있다는 것이다.  

     

    특히 『뉴욕타임스(NYT)』는 익명의 사이버 안보 전문가들과의 비공개 인터뷰를 통해 다음과 같이 최근 러시아 해외정보국의 미국 내 국방산업 네트워크에 대한 사이버 공격 현황을 보도하였다.  

     

    첫째, 러시아는 미국의 약 18,000개 기관과 약 250개의 방산 관련 네트워크에 대한 사이버 공격을 하였다.  

     

    예를 들면 미국 내 네트워크, 시스템체계와 정보통신기술 기반체계를 공급하는 솔라윈스(SolarWinds)와 국방성 클라우드 서비스를 지원하는 아마존(Amazon)과 마이크로소프트(Microsoft)사에 대해 다양한 사이버 공격을 하였으며, 공격받은 업체는 정확히 어떠한 피해를 받았는지는 모르고 있다는 것이다.  

     

    둘째, 러시아 해외정보국은 네트워크 사용자가 무의식 중에 다운받는 앱을 이용하여 각종 소스 코드를 삽입함으로써 미 연방정부의 국가안보법과 국토안보부의 사이버 공간 활용 법규를 교묘히 회피하며 사이버 공격을 하였다.  

     

    더욱 심각한 문제는 미 국방성과 사이버공간 활용 계약을 체결한 미국 내 중소형 사이버 안보 업체들이 비용-대-효과를 이유로 체코 공화국, 폴란드 및 벨라루스 등의 동유럽 국가로부터 엔지니어들을 고용하였으며, 이들은 미국 회사에 고용되기 이전에 이미 러시아 해외정보국에 포섭되어 각종 백도어 소스 코드를 심어 놓아 관련 안보 업체들도 모르는 사이에 자료들이 유출되었다는 것이다.  

     

    셋째, 국가정보국(ODNI), 국토안보부(DHS) 국가안보국(NSA)와 사이버 및 기반체계 안보국(CISA), 연방수사국(FBI), 국방성 사이버사령부의 사이버 공격 징후에 대한 경보체계가 전혀 효과가 없었다는 것이다.  

     

    지난 1월 5일 사이버 및 기반체계 안보국(CISA)은 국가정보국(ODNI), 국토안보부(DHS) 국가안보국(NSA), 연방수사국(FBI), 국방사이버사령부(USCYBERCOM)와의 『공동 발표문(JA-CISA)』에서 이 문제의 심각성을 지적하였다.  

     

    특히 『뉴욕타임스(NYT)』는 미국 내 이들 사이버 안보 기관들이 러시아 해외정보국의 사이버공격을 찾기위해 ‘시도(reconnaissance)’하는 행위가 오히려 러시아 해외정보국에 사전 노출됨으로써 러시아 해외정보국은 미국 사이버 방어 기관들이 사전경고를 주기 불과 1일 이전에 모든 정보를 미리 해킹하는 수준이라고 지적하였다.  

     

    예를 들면 미 국방성 사이버사령부의 ‘조기경보(Early Warning)’ 체계와 에너지부의 ‘블랙스타트(Black Start)’ 등의 예방 조치들이 러시아 해외정보국에 의해 역이용되는 경우를 들었다.  

     

    또한 미 국방성이 국방정보체계에 대한 러시아 해외정보국의 해킹은 실패하였다고 주장하였으나, 펜타곤이 성공적으로 러시아의 해킹을 방어하였다는 ‘실질적 증거(substantial evidence)’는 없다고 평가하였다.  

     

    넷째, 사이버 공격은 네트워크만이 아닌, 사용자의 개인적 네트워크에 대해서도 실시되었다.  

     

    그동안 미 정보당국은 이를 인간정보(Human Intelligence)로 정의하며 사람에 대한 보안을 강화하였으나, 실제 러시아의 사이버 공격은 이들이 국방 네트워크가 아닌, 방산업체와의 상용 네트워크에서 더 많이 자행되었다.  

     

    예를 들면 파이브아이(FiveEye)와 마이크로소프트(Microsoft)사가 운용하는 방산 부품공급용 네트워크는 미 연방정부와 미 국방성 사이버사령부가 통제할 수 있는 범위와 제도 밖에 있어 이들에 대해 사이버 방어를 적용하기는 어렵다.  

     

    특히 이들 부품업체들이 임시적으로 사용하는 부품공급 도관(conduit) 규모는 대부분 정부 통제밖에서 이루어지고 있어 이들이 러시아 해외정보국으로부터 해킹을 당해도 별거 아닌 것(lackluster)으로 간주해 버린다는 것이다.  

     

    실제 미국 내 최대 네트워크사인 솔라인스(SolarWinds)사에 11년간 종사한 개빈 탐슨 네트워크 엔지니어는 일부 부품업체들은 자신들이 러시아 해외정보국으로부터 해킹을 당하고 있다는 사실조차 모르고 있을 것이며 해킹을 당했었도 이를 네트워크상 부작용(sidestepped)으로 무시하고 있을 것이라고 지적하였다.  

     

    『뉴욕타임스(NYT)』는 오바마 행정부 당시 국토안보부에 근무한 수잔 스파울딩은 러시아 해외정보국 해킹이 너무 광범위하여 미국 사이버 대응팀이 어느 분야를 중점적으로 살펴야 하는지를 식별할 수 없다는 것도 심각한 문제라고 지적하였다.  

     

    다섯째, 비밀 내용이 아닌 일반 자료들의 해킹은 매우 심각한 수준이다.  

     

    예를 들면 아마존(Amazon)사의 자체 보안팀은 러시아 해외정보국이 비밀이 아닌 일반 내용을 해킹하여 이를 마치 고대 『트로이 목마(Trojan Horse)』와 같이 미 국방성 네트워크로 침입을 시도한 사례였다.  

     

    하지만 보안 전문가들은 러시아 해외정보국이 공격을 흔적과 과정을 역추적하여 러시아의 사이버 공격을 차단할 수 있는 방안을 강구할 수 있다면서 지금이라도 국방성 사이버사령부와 국토안보부의 해킹대응팀이 민간 보안업체들과의 협업관계를 확대하여 대응해야 한다고 주문하였다.  

     

    대표적으로 오라이언(Orion) 및 오브시디언(Obsidian Security) 보안사들을 들면서 이들 업체들에게 예산 지원을 하는 방안을 제안하였다.

     

    오브시디언사 그랜 치스홈 창업자는 대표적 사례를 미 정부가 2010년에 솔라인스사에 1억5천2백만불을 지원하였으나, 2019년에는 4억5천3백만불을 지원한 것을 확대해야 한다고 제안하였다.  

     

    마지막으로 『뉴욕타임스(NYT)』는 최근 러시아의 미 정부 네트워크에 대한 사이버 공격이 사이버 도메인 체계만이 아닌 사용자를 포섭하는 수준으로 확대되고 있다며, 이제는 미국 정부가 러시아 정부에게 사이버 공격을 중단해 줄 것을 요구하고 만일 이러한 행위들이 2016년과 작년 미국의 선거 제도 등의 국내문제로까지 확대될 경우 미국도 같은 사이버 공격을 할 것이라고 경고를 해야 한다고 지적하면서 그동안 미 행정부가 러시아의 사이버 공격 행위에 대해 소홀히 하여 문제를 확대시켰다고 평가하였다.

      

    ※ 약어 해설 - USCYBERCOM: United States Cyber Command - SVR-RF: Foregin Intelligence Service Russian Federal - JA-CISA: Joint Statement by Cyber Security and Infrastructure Security Agency - DHS: Department of Homeland Security - FBI: Federal Bureau of Investigation - CISA: Cyber Security and Infrastructure Security Agency - ODNI: Office of the Director of National Intelligence - NSA: National Security Agency

     

    * 출처: The New York Times International Edition, Jauary 4, 2021, p. 1 & 5; Joint Statement by the FBI, CISA, ODNI, and NSA, January 5, 2021.

     

    사진/출처

    Seal of Foreign Intelligence Service, Russian Federal, Russia
    출처:https://commons.wikimedia.org/wiki/File:SVR_Emblem.svg

     

    저작권자ⓒ한국군사문제연구원(www.kima.re.kr)