페트야(Petya) 랜섬웨어는 우크라이나 정부기관을 타깃으로 한 러시아 사이버 전쟁인 것으로 추측되고 있는 가운데, 이 주장을 뒷받침할 증거가 드러났다. 우크라이나 경찰과 CERT 발표에 따르면 우크라이나에서 많이 쓰는 소프트웨어 업데이트 취약점을 이용해 배포했으며, 우크라이나 기관을 대상으로 한 스피어피싱 공격, 우크라이나 특정 웹사이트를 통한 워터링홀 공격을 한 것이 그 예이다.
또한 감염된 PC에서 윈도우 계정정보를 탈취하는 백도어를 설해 입력되는 계정 정보와 동일한 계정으로 운영되는 주변 PC에도 전부 감염시켰고, 우크라이나 와 동일한 IP 대역을 사용하는 다른나라로 퍼져나간 것은 우크라이나를 타깃으로 한 공격이다.
본격적인 사이버전 시대로 접어들어
페트야 공격은 본격적인 사이버전쟁의 시대로 접어들었다는 사실을 암시한다. 워너크라이는 그 전초전이었다고 할 수 있다. 사이버전쟁을 벌이는 집단은 금전적인 수익이 1차 목표는 아니지만, 정치자금 마련을 위해 랜섬웨어와 같은 수익을 올리는 공격을 진행하기도 한다. 또한 수준 높은 공격조직일수록 추적을 어렵게 만들기 위해 각종 위장장치를 마련하고 있으며, 다른 범죄집단에 혐의를 뒤집어씌우기 위해 모방범죄를 벌이기도 한다.
그러나 공격을 추적하다보면 공격패턴이 동일하게 나타나는 지점이 있어 이를 프로파일링 해 공격집단을 추정할 수 있다. 더불어 공격의 목적과 목표, 누가 어떤 이익을 얻었는지 조사하면 단순히 금전적 이익을 취하기 위한 공격이었는지, 정치적인 목적으로 발생한 것인지 알 수 있다.
연쇄살인범을 쫓는 수사당국의 수사 과정을 예로 들어보자. 영화와 드라마에서 많이 보아왔듯, 살인사고가 발생하면 경찰은 현장에서 증거를 수집한다. 족적, 지문, 범행에 사용한 흉기, 피해자와의 원한관계를 파악하고, 피해자 상흔을 통해 범인의 습관이나 행동패턴을 파악한다.
동일한 살인범에 의해 자행된 사고로 인지하고 수사를 하던 중, 상흔에서 이전과 다른 패턴이 발견될 수도 있다. 예를 들면 기존의 연쇄살인범은 칼을 찔러 넣고 오른쪽으로 돌렸는데, 한 피해자는 칼을 찌르고 왼쪽으로 돌렸다던가, 칼이 들어간 깊이가 다르다던가 하는 방식이다. 모방범죄라 하더라도 원래 범죄자에게서 자연스럽게 나오는 습관이나 특성까지 따라할 수는 없다.
사이버 범죄 수사 역시 마찬가지다. 공격에 사용한 도구를 분석해 이전과 동일한 코드가 나오면 특정 범죄 집단의 소행으로 추정하고 수사를 진행한다. 악성코드는 지하세계에서 공유되기 때문에 얼마든지 재사용하거나 도용해 사용할 수 있다. 그러나 공격에 이용된 모든 도구와 흔적을 수사하다보면 특정집단만이 갖고 있는 동일한 패턴을 찾아낼 수 있다.
워너크라이 랜섬웨어는 방글라데시 중앙은행 해킹사고를 벌인 ‘라자루스’ 그룹의 소행으로 추정되는데, 공격 도구를 몇 단계 이상 분석해서 찾아낸 분명한 증거를 바탕으로 발표한 것이기 때문에 동일범의 소행이 맞다고 추정된다.
AI 이용한 범죄 인텔리전스 구축 시도 이어져
사이버 수사를 계속하다보면 동일한 패턴의 공격 방법을 구사하는 몇 개의 공격 그룹이 특정되는데, 수사당국과 보안기업들은 이를 프로파일링 해 구분하고 다른 공격이 발생했을 때 이 프로파일과 비교하면서 추적을 진행해나간다. 프로파일을 갖고 있으며, 공격 발생 시 향후 공격의 추이를 예상해 미리 방어할 수 있으며, 경찰 당국과 공조해 범인을 검거할 수도 있다.
최근에는 공격자가 공격 흔적을 지워나가면서 공격을 해 수사를 중단시키기도 하며, 수사에 혼선을 주기 위해 곳곳에 함정을 파 놓기도 한다. 가짜 증거를 걸러내는 것도 수사에서 중요한 일인데, 인공지능(AI) 기술을 이용해 가짜 증거를 지능적으로 제거하고 공격 프로파일을 정확하게 만들어나가려는 시도도 나타난다.
기태현 라온시큐어 센터장은 “포렌식 분석을 통해 IT 장비에 남은 증거를 분석할 때 위조된 증거인지 여부를 가릴 수 있는 지능형 기술이 다수 등장하고 있다. 특히 최근 사이버 공격은 개인이 아니라 집단적으로 행해지기 때문에 집단의 특성을 구분하는 것이 이전보다는 용이해 진 상황”이라며 “보안 기업과 수사당국은 AI 기술을 고도화해 공격자 인텔리전스를 구분할 수 있는 방법을 연구하고 있으며, 공격배후가 밝혀질 때 선제타격까지 가능하게 될 것이라고 말한다”고 설명했다.
공격 증거 중 하나로 지목되는 것이 공격자의 IP주소이다. IP는 얼마든지 우회할 수 있고 위변조가 가능하기 때문에 IP 주소만으로 범죄자를 특정할 수 없지만, 여러 가지 증거 중 공격자가 자주 사용하는 IP가 나온다면 공격그룹의 특징으로 볼 수 있다는 설명이다.
신대규 KISA 침해사고 분석단장은 “공격자는 IP 추적을 회피하기 위해 VPN을 이용하는데, VPN이 끊어지는 순간 IP 주소가 노출된다. 공격자는 이를 감추기 위해 복잡하게 IP 우회경로를 만들지만, 공격자가 인지하지 못하는 사이 공격지 IP가 노출될 수 있으며, 이를 근거로 공격자의 위치와 공격 그룹을 파악하게 된다”고 설명했다.
정치·사회 정세 분석해 공격집단 특정
공격이 시작됐을 때 정치·사회적인 정세를 보는 것도 사이버 공격 집단을 특정하는 요인이 된다. 페트야는 우크라이나 전역을 대상으로 한 대규모 공격이었다는 점을 들어, 러시아가 자국과 대립하는 우크라이나를 대상으로 사이버전을 펼치고 있다는 것을 의심하게 한다.
미국 대선 당시 민주당 의원 이메일이 해킹당한 사고는 미 대선에 영향을 미치려는 러시아의 소행으로 추정되고 있으며, 사드배치가 결정된 후 이에 항의하는 중국 해커들이 우리나라 기업들의 웹페이지를 해킹하고 디도스 공격을 벌인 바 있다.
패트릭 월시(Patrick Walsh) 파이어아이 아이사이트 부사장은 지난 5월 방한 기자간담회를 통해 가장 악질적인 사이버테러 배후국으로 러시아, 중국, 이란, 북한을 지목하며 “전 세계에서 무수한 사이버 스파이 활동이 진행 중인데, 대부분 중국과 러시아에서 발생하고 있으며, 이란, 중동지역, 한국, 인도, 남아메리카 등지에서도 많은 활동이 관찰되고 있다”고 밝혔다.
월시 부사장은 “이들 국가들은 일반적으로 사이버 범죄 조직의 고용, 조율, 조직, 지시, 작업, 위임, 감독 및 기금 등을 후원한다. 중국과 러시아의 경우 파이어아이가 추적하는 그룹 중 가장 대표적이며 숙련된 그룹이며 러시아는 군사활동을 지원하기 위해 정부, 군대 및 적으로부터 정보를 유출한다. 북한과 이란의 스폰서들은 정부의 이미지를 보호하기 위해 상징적인 목표를 추구한다”고 설명했다.
