[데이터넷] 세계 3차대전은 사이버전이 될 것이라는 전망이 오래 전 부터 제기됐다. 러시아가 물리적인 전쟁과 사이버 전쟁을 병행하는 하이브리드 전을 20여년 전부터 전개하고 있어 세계 사이버 대전 발발 우려가 매우 높았다.

러시아는 수 년 전부터 우크라이나를 대상으로 사이버 공격을 벌여왔다. 맨디언트가 분석한 UNC1151 그룹 공격 활동을 보면, 이들은 2년 동안 우크라이나 군을 목표로 광범위한 공격을 시도해왔으며, 벨라루스 군과 연계된 것으로 추정된다. 이들은 우크라이나 시민과 군인의 개인데이터를 악용해 정보작전을 벌이는 것으로 추측되며, 우크라이나 기밀문서 등을 탈취해 조작해 잘못된 여론이 형성되도록 할 수 있다고 분석했다.

NSHC가 러시아 기반 공격그룹 ‘섹터C(SectorC)’의 2021년 활동을 분석한 보고서에 따르면 이들은 우크라이나 에너지 가격, 세관신청서, 경찰사건 보고서, 군부 내 코로나19 상황 등의 우크라이나와 관련된 내용으로 피싱 공격을 진행했다.

스피어피싱과 링크드인 메시지를 이용한 사회공학 기법을 이용했고, 추적을 피하기 위해 상용 VPN을 사용했다. 이들은 정부기관과 싱크탱크, 국방 관련 공공 기관을 공격하고 있으며, MS 익스체인지 서버 취약점, iOS와 사파리 취약점 등도 이용했다.

우크라이나 침공에 앞서 위스퍼게이트, 헤르메틱와이퍼 등 파괴형 악성코드를 유포해 금융, 국방, 항공, IT등 여러 기관에 수백대의 PC 데이터를 삭제하는 등 대규모 공격을 벌여왔다.

크라우드스트라이크가 분석한 엠버 베어(EMBER BEAR)는 지난해 초부터 유럽 정부와 군사조직에 대한 사이버 스파이 활동을 벌여왔는데, 표적기관에 대한 대중의 불신을 조장하고, 러시아 사이버 작전 대응 정부 능력을 저하시키는 것을 목표로 한다. 또한 침입 중 확보한 액세스와 데이터를 무기화한다.

OSINT로 적군 동향 파악

러시아가 우크라이나를 무력으로 침공하자, 세계 각국에서 비난여론을 쏟아내는 한편, 어나니머스와 같은 국제적인 해킹단체가 러시아 정부와 방송국 등을 공격하면서 맞불을 놓았다. 우크라이나 정부는 텔레그램에 ‘IT Army’를 모집한다고 공개했으며, 국적을 불문하고 많은 해커들이 참여하고 있다.

또한 마이크로소프트, 구글 등 IT 기업들이 적극적으로 러시아가 개발한 악성코드를 찾아분석해 대응할 수 있게 하며, 트위터는 해킹 시도를 적발하고, 유튜브는 가짜뉴스 채널을 삭제하는 등 SNS에서도 전쟁이 이어지고 있다.

김상배 서울대 정치외교학부 교수는 세종연구소가 30일 ‘러시아-우크라이나 전쟁: 사이버 작전의 역할과 함의’라는 주제로 연 ‘제 3차 세종 사이버 안보 포럼’에서 “현재 러시아-우크라이나 전쟁은 전 세계 보안 전문가와 해커, 핵티비스트, 사이버 범죄자, 민간 기업까지 대거 참전하는 사이버 세계대전이 되고 있다”며 “사이버전에는 민간 빅테크 기업들과 일반 시민들의 SNS 게시물, 민간 위성 정보 등 공개된 정보들이 대거 활용돼 OSINT의 중요성을 알게 했다. 사이버 전쟁은 잘 훈련된 사이버군 뿐 아니라 민간기업, 일반 시민들의 참여로 진행되는 양상을 띈다”고 말했다.

집단지성으로 가짜뉴스 바로잡아

이번 우크라이나 침공에 앞서 러시아는 우크라이나 정부·군·은행에 대한 대규모 디도스 공격과 시스템·데이터 파괴 멀웨어 유포 등의 공격을 진행했다. 그래서 러시아가 우크라이나를 침공하면 원전·발전소·교통시설 등 사회 주요 인프라를 해킹해 우크라이나의 피해를 더 크게 할 것이라고 예측했는데, 아직 이러한 공격이 시도된 정황은 발견되지 않았다.

이에 대해 전문가들은 러시아가 아직 공격을 시작하지 않은 것이라는 주장, 공격을 했지만 우크라이나가 잘 막았다는 주장, 실제로 물리적인 전쟁이 발발했을 때 사이버전이 큰 효과는 없을 것이라는 주장 등이 혼재돼 있다.

그런데 세종연구소 세미나에서는 ‘사이버 심리전’에 주목하는 관점이 제기됐다. 이수진 국방대학교수는 “러시아는 사이버 공간에서 활동을, 세계에 영향력을 미치기 위한 강대국간 투쟁의 한 형태인 ‘정보 대립(Information Confrontation)’이라는 관점에서 보고 있다. 정보대립에서 무게중심을 사건을 바라보는 사람들의 마음과 인식, ‘인지영역’으로 간주하고 있으며, 이는 심리전, 전자전, 물리작전과 사이버 공간 활동 등 어떠한 수단에도 사용될 수 있다”고 설명했다.

앞서 김상배 교수도 사이버 심리전에 주목해야 한다고 강조하며, 러시아가 침공 전, 우크라이나 사회를 교란시키고 사기를 떨어뜨리기 위해 다양한 가짜뉴스를 퍼뜨렸다고 설명했다. 이에 맞서 우크라이나인들과 세계인, 각계 각층의 전문가들이 OSINT 정보를 이용해 가짜뉴스를 바로잡으면서, SNS를 통해 가짜뉴스가 감춘 실상을 제대로 전달하기 위해 노력하고 있다.

그럼에도 불구하고 너무 많은 가짜뉴스와 확인되지 않은 의혹들이 빠르게 퍼지면서 혼란은 더욱 심화되고 있다.

사이버 강국 발전 위해 사이버전 역량 높여야

러시아-우크라이나 전쟁은 북한, 일본, 중국 등과 긴장관계를 유지하고 있는 우리나라의 사이버 안보 정책 수립에 많은 시사점을 준다. 특히 우리나라를 타깃으로 하는 북한 배후 공격그룹은 대북·외교분야 정보 탈취를 위해 해당 분야 전문가들이 관심가질만한 내용으로 위장한 스피어피싱을 지속적으로 유포하고 있다.

맨디언트가 북한 사이버 위협그룹을 분석한 보고서에 따르면 북한의 가장 유명한 해커그룹인 ‘라자루스’가 하나의 해커집단이 아니라, 북한 해커 그룹 전체를 지칭하는 포괄적인 용어라고 설명했다. 맨디언트는 북한 정보기관은 국가 필요에 따라 사이버부대를 구성할 수 있는 유연성과 탄력성을 갖고 있으며, 라자루스는 북한 정찰총국 내에서 수행되는 사이버 작전이라고 이해할 수 있다고 설명했다.

이에 반해 우리나라의 사이버전 대응 준비는 충분하지 않다. 이수진 교수에 따르면 우리나라는 IT 강국이며, 사이버 보안 수준도 전 세계 상위권, 아태지역 1위로 평가받고 있지만, 사이버전과 관련한 능력은 전 세계 중하위 수준으로 낮은 평가를 받고 있다.

이수진 교수는 “국가 사이버 역량 평가에서 사이버 지휘 통제, 감시정찰, 공격능력 등이 평가항목으로 포함되고 있다는 점을 명확하게 인식하고, 그에 맞춰 사이버 강국으로 거듭나기 위한 보다 공세적인 전략을 수립·시행해야 할 것”이라고 말했다.