해커 용어로 ‘가상-물리 효과(cyber-to-physical effect)’라고 한다. 해커가 가상세계에서 현실세계에 영향을 미쳐 재앙을 입히는 상황을 일컫는다. 2009년 미국인과 이스라엘인이 이 분야를 개척했다. 그들이 개발한 스턱스넷(Stuxnet, 기간시설 파괴 목적으로 제작된 컴퓨터 바이러스)이 이란의 컴퓨터 시스템에 침투해 우라늄 농축용 원심분리기 수천 개를 파괴했다.

이제 다른 해커도 컴퓨터 네트워크의 원격 조종으로 사회 기간시설을 파괴하고 인명을 위협하는 게임에 뛰어들고 있다. 특히 러시아인과 중국인의 활동이 두드러진다. 독일 연방정보보안청(BSI) 보고서에 따르면 지난해 독일의 한 산업도시에서 제철소 용광로의 제어 시스템이 디지털 공격으로 막대한 피해를 입었다. 지난해 초 미국에서도 해커가 전기·수도·연료 배분 시스템에 침투해 대혼란이 초래될 뻔했다.

흔히 발생하는 데이터 해킹은 언제나 언론의 비상한 주목을 받는다. 실제로 지난 1년 동안 백악관, 미국 국무부·국토안보부·국방부, 소니영화사의 이메일 시스템과 데이터베이스가 해킹당해 세간의 이목을 끌었다. 그러나 보안 관리들은 그런 구식 해킹보다는 ‘가상-물리 인프라 공격’이라는 위험천만한 신세계를 우려한다.

미국 국가안보국(NSA) 마이클 로저스 국장은 최근 하원 정보위원회에 출석해 “이런 공격이 이론상으로만 존재하는 게 아니다”라고 말했다. 그는 미국과 동맹국을 표적으로 하는 사이버 공격으로 “수천억 달러의 손해가 발생한다”며 “신속 대응하지 않으면 거의 재앙 수준의 피해가 닥칠 것”이라고 강조했다.

하버드대학 케네디 스쿨 산하 벨퍼센터 연구원이자 네덜란드 소재 헤이그 전략연구센터 수석연구원인 알렉산더 클림버그는 이렇게 말했다. “오늘날의 사이버 공간은 제1차 세계대전 직전인 1914년의 유럽과 같다. 당시 유럽은 무슨 일이 닥칠지 전혀 감을 잡지 못했다. 지금 각국 정부는 몽유병자처럼 신기술의 위력과 서로간의 사이버 활동에 관한 오해가 불러올 중차대한 결과를 제대로 알지 못한다.”

미국 정보기관연합의 2015 세계 위협평가(Worldwide Threat Assessment) 보고서에 따르면 신세대 사이버 전쟁에선 러시아와 중국이 ‘가장 능숙한 국가적 행위자’이며, 정교함과 프로그래밍 실력, 독창성에선 특히 러시아 해커가 타의 추종을 불허한다. “중국의 위협은 부풀려졌지만 러시아의 위협은 과소평가됐다”고 사이버 보안 컨설팅업체 타이아 글로벌의 제프리 카 대표가 말했다[그는 2010년 ‘사이버 전쟁의 실상(Inside Cyber Warfare)’을 펴냈다]. “러시아인이 기술적으로 가장 능숙하다. 예를 들어 우리는 소니영화사 공격이 러시아인으로 이뤄진 해킹 청부업단의 소행이라고 믿는다.”

소니영화사 공격은 김정은 북한 지도자를 조롱하는 영화 ‘더 인터뷰’가 발단이었다. 지난해 익명의 해커단이 소니영화사의 이메일 수천 건을 해킹한 뒤 영화 상영을 취소하지 않으면 다시 공격하겠다고 위협했다. “우리는 중개인을 통해 해커 1명과 연락할 수 있었다”고 카 대표는 말했다 “소니영화사가 그 공격으로 네트워크 역량의 80%를 잃은 뒤에도 여전히 해커가 그 안에서 활동하고 있었다. 기술적 역량이 그만큼 뛰어나다는 뜻이다.”

특히 주목할 점은 여기서 드러난 ‘모스크바 커넥션’이다. 러시아는 세계에서 재래식 무기 공격과 사이버 공격을 통합한 국가로 유일하다. 카 대표는 “2008년의 러시아-조지아 전쟁은 가상-물리 작전이 융합된 완벽한 사례였다. 지금까지 어떤 다른 나라도 그런 식으로 전쟁을 치르지 않았다.”

마찬가지로 러시아의 크림반도 합병 직후인 지난해 4월 지상 공격과 함께 우크라이나·폴란드 정부와 산업기관 수백 곳, 유럽 의회와 유럽연합 집행위원회를 대상으로 한 ‘로테크’ 사이버 공격이 쇄도했다.

그중 다수는 ‘블랙에너지(BlackEnergy)’ 최신판을 사용했다. 원격으로 컴퓨터를 장악하는 ‘트로이 목마’ 맬웨어(malare, 악성코드)의 일종이다. 블랙에너지에 감염된 컴퓨터 네트워크가 ‘봇넷(botnet)’이다. 봇넷이 표적 서버를 장악하면 한꺼번에 수많은 컴퓨터가 그 웹사이트에 접속해 비정상적으로 트래픽을 늘려 서버를 마비시키는 ‘디도스(분산서비스거부, DDoS)’ 공격이 이뤄진다.

EU 네트워크·정보보안국 실무단 회원이며 ‘시큐리티 어페어스’ 블로그를 설립한 피에르루이기 파가니니는 “블랙에너지는 원래 러시아 해커가 만들었고, 일반적인 디도스 공격과 은행 사기, 스팸에 사용됐다”고 설명했다. “그러나 최근 블랙에너지의 신형 변종이 개발돼 정부 기관과 기업을 표적으로 삼는 공격에 사용되고 있다.”

미국 정부가 ‘공격형 사이버 효과 작전(Offensive Cyber Effects Operations)’이라고 부르는 이런 최신 사이버 공격에선 배후가 누구이며 공격 의도가 정치적인지 범죄인지 정확히 알 수 없다.

확실한 점은 오래 전부터 러시아 해커가 사이버 범죄 세계의 일인자로 군림해왔다는 사실이다. 미국 연방 검찰은 2010~2013년 미국 사상 최대 사이버 범죄의 배후로 러시아와 우크라이나 해커단을 지목했다. 그들의 직불카드 사기로 JC 페니, 제트블루, 프랑스 유통업체 까르푸 등의 업체가 3억 달러 이상의 피해를 입었다. 지난해엔 러시아 해커단 ‘클릭재커’가 애플 아이튠스 스토어, 넷플릭스, 미국 국세청, 아마존닷컴, ESPN닷컴, 월스트리트저널 웹사이트, 미국 항공우주국(NASA) 컴퓨터 등의 사용자 정보를 탈취한 혐의로 기소돼 유죄 판결을 받았다.

미국 인터넷 보안업체 홀드 시큐리티에 따르면 지난해 러시아 남중부의 작은 도시를 거점으로 하는 미확인 해킹단이 웹사이트 40여만 개를 해킹해 이메일 주소 약 5억 개와 인터넷 아이디·비밀번호 약 12억 개를 훔쳤다. 지난 2월엔 모스크바 소재 인터넷 보안업체 카스페르스키 랩스가 사상 최대 인터넷 사기의 전모를 밝혔다. 2013~2014년 러시아, 우크라이나, 일본, 미국, 유럽에서 100개 이상의 은행을 공격한 사건이다. 카스페르스키는 전체 피해 액수가 약 9억 달러에 이를 것으로 추정했다(피해 복구 비용 3억 달러 포함).

서방 출신으로 모스크바에서 활동하는 한 인터넷 보안 컨설턴트는 “그 정도면 산업 규모의 사이버 범죄”라고 말했다. 그는 그 공격이 발생한 후 러시아 은행들의 방호망 강화 작업에 협력했다. “그 해커단은 우크라이나 수도 키예프에서 은행 현금자동입출금기(ATM)의 지폐가 쏟아져 나오게 만들어 행인들이 주워가게 했다. 어도비와 마이크로소프트 프로그램의 결함을 이용해 은행의 전자 시스템에 침투한 기법은 그리 정교하지 않다. 하지만 피해자가 전혀 모르게 범행을 저지르고 백도어(시스템에서 만들어 놓은 보안이 제거된 비밀 통로)를 철저히 은폐했다는 사실은 그들이 매우 용의주도하다는 뜻이다.”

이런 해킹 범죄단과 러시아 정부가 어떻게 연관되는지는 아무도 모른다. 클림버그 연구원은 “사이버 범죄, 사이버 테러, 사이버 전쟁은 거의 다 같은 기술적 기반과 도구, 수법을 사용한다”고 말했다. “또 같은 소셜네트워크를 사용하고 목표도 비슷하다. 차이점이 있다고 해도 대부분 표시 나지 않는다. 사이버 공간에선 금융적 동기와 정치적 동기를 구분하기 어렵다.”

특히 맬웨어를 표적 컴퓨터에 침투시키는 수법은 어떤 해커나 똑같다. 해커는 인기 프로그램의 취약점을 찾아 외부 코드를 침투시킨다. 특히 운영체제(OS)나 네트워크 장비 등 핵심 시스템의 취약점을 보완하는 패치가 발표되기 전을 의미하는 ‘제로데이(zero-day)’의 허점을 이용한다. 클림버그 연구원에 따르면 쓸만한 제로데이 취약점 정보는 20만 달러에 팔린다. 그러나 러시아 해커가 자신이 가진 제로데이 취약점 정보를 정부의 스파이 활동용으로 ‘빌려주는’ 사례가 적지 않다. 해커는 같은 허점을 나중에 범죄에 사용한다.

카 대표는 “러시아 해커 수백 명이 이런 일을 생계 수단으로 삼는다”고 말했다. “그들은 주문자가 스위스 은행 관계자든 우크라이나 신흥재벌이든 상관하지 않는다. 범죄로 체포되는 러시아 해커는 러시아 연방보안국(FSB)을 위해 일하거나 감옥에 가거나 둘 중 하나를 강요 받는다. 또 FSB는 계약으로 해커를 고용하기도 한다.”

러시아의 사이버 범죄자가 러시아 정부를 위해 일했거나 정부와 협력한 증거는 분명히 있다. 그 역사는 2007년 에스토니아가 표적이었던 사이버 공격으로 거슬러 올라간다. 그러나 지금은 크렘린이 직접 개입하는 듯하다. 제임스 클래퍼 미국 국가정보국장은 지난 3월 상원 군사위원회에서 러시아 국방부가 ‘공격적 사이버 활동을 수행하는 독자적인 사이버 사령부’를 설치하고 있다고 밝혔다. 또 타이아 글로벌이 수집한 정보에 따르면 러시아 정부는 상트페테르부르크 폴리테크닉대학과 사마라 주립대학 같은 세계적 수준의 컴퓨터과학센터에서 사이버 기술 연구·개발의 재정지원을 대폭 늘리고 있다.

미국 정부를 표적으로 한 최근의 해킹 공격을 러시아 정부와 연관 지을 수 있는 잠재적 증거도 있다. 미국 인터넷 보안업체 파이어아이가 밝혀낸 사이버 부대 APT28의 존재와 카스페르스키 랩스가 확인한 코지듀크, 코스믹듀크, 미니듀크, 어니언듀크로 알려진 해커 가족의 디지털 서명이 거기에 포함된다. 서로의 연관성이 확인되진 않았지만 그들은 배경이 러시아임을 알려주는 디지털 서명을 갖고 있다. 최근 발표된 파이어아이 보고서는 이렇게 지적했다. “APT28의 맬웨어에 나타난 흔적을 보면 그 단체가 러시아어 사용자들로 구성돼 있고 러시아 주요 도시의 업무시간에 활동한다는 사실을 알 수 있다. APT28이 만든 것으로 추정되는 맬웨어 샘플의 절반 이상엔 러시아어 세팅이 포함돼 있다.”

그러나 진정한 증거는 APT28이 사용한 맬웨어의 디지털 서명이 아니라 지난 5년 동안 그들이 공격한 표적일지 모른다. 예를 들어 조지아 내무부·국방부, 폴란드 정부, 헝가리 정부, 북대서양조약기구(NATO), 유럽안보협력기구(OSCE), 노르웨이 군, 미국 국방부 협력업체 등이 그들의 표적이었다. “APT28은 경제적 이익을 노리는 광범위한 지적재산 절도가 아니라 정보 수집에 초점을 맞추는 듯하다”고 파이어아이 보고서는 지적했다. “정보 수집 활동은 특히 정부에 가장 유용하다.”

APT28과 듀크 가족단(코스믹듀크, 미니듀크, 어니언듀크) 개발팀이 “서로 협력하며 지식과 프로그래밍 기법을 공유한다”는 증거와 또 그들 모두 러시아를 사용한다는 공통점도 있지만 그들은 각각 독립 단체일 가능성이 크다고 파가니니는 말했다. “그들 모두 국가가 후원하는 해커이며 러시아 정부가 그 배후일지 모른다. 같은 사이버 부대 소속이지만 다른 부서에서 활동할 가능성이 있다.”

올해 백악관과 미국 국무부의 기밀 이메일 기록을 해킹한 배후가 과연 ATP28과 크렘린일까?(백악관 대변인은 버락 오바마 대통령의 개인 이메일은 해킹당하지 않았다고 말했다.) 크렘린은 강력히 부인했다. 드미트리 페스코프 크렘린 대변인은 기자들에게 “모든 탓을 러시아에 돌리는 게 세계적으로 유행한다”고 농담했다. “적어도 미국은 워싱턴의 포토맥강에서 러시아 잠수함을 찾으려고 하진 않는다. 하지만 몇몇 다른 나라에선 실제로 그런 법석을 떨었다.”

하지만 APT28이 흔히 사용하는 일부 코드, 특히 ‘CHOPSTICK’으로 알려진 ‘백도어’ 계열이 이번 백악관과 국무부 해킹에서 발견됐다. 또 지난해 미국 국방부의 (기밀이 아닌) 일반 군사 네트워크에 대한 비슷한 공격은 APT28의 소행이 거의 확실했다. 지난 4월 애슈턴 카터 미국 국방장관은 “그들의 네트워크 활동을 분석한 결과 러시아와 연관됐다는 사실을 확인하고 곧바로 쫓아냈다”고 밝혔다.

백악관 이메일 해킹은 주제 넘는 행위일지 모르지만 어떻게 보면 그 역시 러시아와 미국이 수십 년 동안 해온 전통적인 스파이 활동이나 신호정보 게임과 크게 다르지 않다. 진짜 무서운 것은 그보다 은밀하게 파괴 행위와 사보타주를 일으킬 수 있는 물리적 인프라 침투다. 과거 런던에서 첩보원으로 활동했고 지금은 민간 보안업체에서 일하는 전직 소련 국가보안위원회(KGB) 고위 간부는 “인프라를 표적으로 삼는 사이버 공격은 전쟁을 수행하는 완전히 새로운 방식”이라고 말했다. “예를 들면 과거 비행기나 잠수함의 발명에 견줄 수 있다. 완전히 새롭고 예기치 못한 방향에서 적을 공격할 수 있기 때문이다. 그런 끊임없는 기습이 전쟁의 핵심이다.”

지난 4월 카스페르스키 랩스 CEO 유진 카스페르스키는 세계 도처의 전력망, 금융기관, 교통 네트워크를 표적으로 삼은 공격이 갑자기 크게 늘었다고 지적했다. “기간 인프라를 공격하는 해커단은 엄청난 피해를 입힐 수 있다. 최악의 테러 공격은 늘 예상할 수 없는 상황에서 발생한다.”

가장 무시무시한 신세대 사이버 무기는 인터넷이나 외부 네트워크에 연결되지 않고 완전히 차단된 초특급 보안 시스템을 공격할 수 있는 수단이다. 스턱스넷 개발자들은 그런 차단 공간을 뛰어넘었다. 기발한 프로그램으로 CD롬과 메모리 스틱을 감염시킨 다음 이란의 핵개발 컴퓨터를 장악해 우라늄 농축용 원심분리기를 파괴하고 컴퓨터 인프라 전체를 교체할 수밖에 없도록 만들었다.

이메일과 메모리 스틱으로 전달될 수 있는 스턱스넷 같은 맬웨어는 2011년부터 개발됐고 출처는 러시아로 확인됐다. 이 맬웨어는 마이크로소프트 윈도를 표적으로 하며 인터넷과 네트워크를 시스템과 차단하는 공간을 뛰어넘을 수 있다.

클림버그 연구원은 “지금은 그런 맬웨어로 모두가 누구에게든 거의 모든 위협을 가할 수 있어 가장 우려된다”고 말했다. 사이버 범죄와 정부의 사이버 스파이 활동을 구별하는 한 가지 방법은 공격에 필요한 프로그래밍 자원의 총량을 측정하는 것이라고 그는 설명했다. 인터넷과 차단된 공간을 뛰어넘을 수 있는 맬웨어가 대표적이다. “여러 조직의 자원과 프로그래밍이 대량으로 공격에 사용된다면 정부와 관련됐을 가능성이 있다는 표시다.”

특히 미국과 유럽은 인프라 공격에 매우 취약하다. 금융 시스템부터 소셜 네트워크까지 필수적인 인프라 대부분이 전자화됐기 때문이다. 사소한 예를 들어 보자. 지난 4월 말 아메리칸항공이 보유한 보잉 737기 전부가 일시적으로 운항을 중단했다. 비행 전 검사를 위해 조종사들이 사용하는 아이패드 응용프로그램이 작동하지 않았기 때문이다. 그 프로그램 하나로 약 6㎏의 종이 설명서를 대체했다. 하지만 그 프로그램이 작동하지 않자 아메리칸항공의 보잉 737기 전부가 멈춰 섰다.

아직은 가설이지만 더 걱정스런 사안이 있다. 미국 회계감사원(GAO)은 지난 4월 중순 대부분의 일반 여객기가 인터넷 해킹으로 테러 등 예기치 못한 사고를 당할 수 있다고 경고했다(2015년 5월 4일자 58쪽 참조). “항공기 시스템이 현대화되고 인터넷 기반의 항공관제 자동화 시스템 비중이 늘어나면서 새로운 형태의 항공기 범죄가 발생할 위험이 커졌다.”

피터 드파지오 민주당 하원의원 겸 교통·인프라위원회 위원은 “테러리스트가 노트북으로 기내에서 와이파이 시스템을 해킹하는 게 최악의 시나리오”라며 “그렇게 되면 그가 비행기를 맘대로 조종할 수 있다”고 말했다.

인터넷 보안 전문가 크리스 로버츠는 트위터에 ‘항공기 제어장치를 해킹해 보면 어떻겠냐’라는 농담을 올렸다가 미국 연방수사국(FBI)의 조사를 받고, 항공사로부터 탑승을 거부당했다. 보잉은 “비행 계획의 변화는 조종사의 검토와 승인 없이는 비행기 시스템에 입력될 수 없다”고 안심시키는 성명을 발표했다.

다른 인프라도 취약하긴 마찬가지다. 에너지 컨설팅업체 블랙&비치가 최근 실시한 조사에 따르면 미국 전기·가스 공급업체의 32%만이 사이버 위협으로부터의 보호에 필요한 통합 보안 시스템을 갖췄다.

오바마 대통령은 지난 2월 사이버위협정보통합센터를 신설하며 “외국의 악의적인 사이버 위협과 관련된 요소들을 서로 연결해주는 국가정보센터”라고 설명했다. 카터 국방장관은 최근 실리콘밸리의 심장부를 방문해 에드워드 스노든 전 NSA 직원의 디지털 사찰 폭로 후 소원해진 정부와 기술업체들과의 관계 개선에 나섰다. 그 자리에서 카터 장관은 “이 위협은 우리 모두를 대상으로 한다”고 말했다. “아울러 우리 국방부와 실리콘밸리 사이의 파트너십 강화를 통해 활용할 수 있는 기회는 아주 많다.”

미국 정보기관들도 막후에서 사이버 공간의 적과 싸우느라 정신없다. 현재 러시아에서 도피생활 중인 스노든은 미국 정보기관들이 종종 불법으로 자국민의 사생활을 침해하면서 방대한 데이터를 수집하고 있다고 폭로했다. 그뿐이 아니다. 최근 카스페르스키 랩스가 발표한 보고서에 따르면 미국은 해외 해킹에도 아주 능하다. 카스페르스키 랩스 팀이 ‘이퀘이션 그룹(Equation Group)’으로 이름 붙인 해커단(‘특정 국가의 거의 무제한 지원을 받았다’고 보고서는 밝혔다)은 지난 14년 동안 첨단 스파이웨어를 세계 도처에 심었다.

그들의 주요 표적은 어느 나라일까? 우선 이란과 러시아, 그 다음이 파키스탄, 중국, 인도다. 그들이 사용한 맬웨어는 금융·정부·외교·항공우주·통신 부문의 네트워크와 연구소·대학 등을 표적으로 삼았다. 카스페르스키 랩스 팀에 따르면 이퀘이션 그룹은 “세계에서 가장 은밀한 맬웨어 ‘탄두’만이 아니라 표적에게서 훔친 민감한 데이터를 안전하게 보호할 수 있도록 군사용 디스크 삭제와 리포맷에도 끄떡없는 비밀 저장고”를 설계했다.

미국은 방대한 자원 덕분에 사이버 공간의 적보다 한발 앞설 수 있을지 모른다. 그러나 이런 새로운 전쟁터의 문제점은 잠재적 전투원 그 누구도 규칙을 모른다는 사실이다. 심지어 누가 전투원인지조차 알 수 없다. 클림버그 연구원은 “사이버 스파이 행위와 은밀한 사이버 행위, 더 중요하게는 사이버 사보타주나 전쟁 준비를 구분하는 건 매우 어렵다”고 말했다. “상대방이 중대한 오해를 하도록 사전에 프로그램될 수 있다. 공격자의 동기를 오해하면 점잖은 외교 용어로 ‘우발적 위기 격화(inadvertent escalation)’, 다시 말해 우발적 사이버 전쟁으로 이어질 수 있다.”

조지 W 부시 행정부의 백악관 사이버안보·대테러 조정관을 지낸 리처드 클라크는 예를 들어 제3의 비밀 세력이 미국과 중국 사이의 긴장을 조장할 목적으로 ‘위장’ 사이버 공격을 가할 수 있다고 경고했다.

일부 학자는 미국과 러시아 사이의 신뢰 구축을 위한 방편으로 ‘사이버군사훈련(cybermilitary exercises)’을 실시하자고 제안했다. 또 우발적 충돌 방지를 위해 스파이 활동의 목적에 적절한 표적이 무엇인지 규정하고, 사이버 공격에서 전력망 같은 중차대한 인프라를 표적으로 삼지 않기로 합의하는 비공식 신사 협정을 체결할 필요가 있다는 주장도 나왔다.

그러나 중국을 설득해 합류시킬 수 있다고 해도 현재 미국과 러시아 사이의 지정학적 긴장을 고려하면 그런 신사 협정 체결은 상당히 어려울 듯하다. 블라디미르 푸틴 러시아 대통령은 인터넷을 “미국 CIA의 발명품”이라고 규정하며 FSB에 “러시아 인터넷의 정화”를 지시했다. 그에 따라 러시아의 모든 인터넷 서비스업체는 서버를 러시아에 둬야 한다. 독자적인 ‘러시아 인터넷’을 만들려는 크렘린의 장기적 계획에서 일보 전진한 셈이다. 푸틴 대통령은 2012년 그 프로젝트에 약 1억 달러를 투자하겠다고 천명했다. 또 지난해 2월 소치 동계올림픽 당시 FSB는 공격적인 사이버 스파이 도구를 사용했다. 와이파이 네트워크와 휴대전화 기지국을 통해 주요 외국 방문객의 컴퓨터와 휴대전화에 스파이웨어를 심기 위해서였다.

그런 정권이 가공할 사이버 무기를 마다할 가능성은 희박하다. 마찬가지로 젠 사키 백악관 대통령실 공보국장의 말대로 “하루에도 수백 건의 사이버 공격을 받는” 상황에서 미국이 보복 차원의 정교한 사이버 무기 개발을 그만둘 가능성 역시 작다. 결국 사이버 공간의 군비경쟁이 불붙을 수밖에 없다. - 번역 이원기

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지