[사이버 투시경] ⑤ 북한과 러시아의 사이버전은 위장전술인 ‘마스키로프카’

▲ 지넷 맨프라 미국 국토안보부 사이버안보 담당 차관보가 2017.12.19. 백악관에서 지난 5월 워너크라이 랜섬웨어 공격 배후는 북한이라고 밝히고 있다.

'마스키로프카'는 위장, 은폐, 속임수, 허위정보 등을 포함하는 전술을 의미하며 과거 러시아 군에서 주로 사용

러사아와 북한이 '낫페트야', '워너크라이' 같은 악성 프로그램을 이용해 마스키로프카 전술을 사이버전에 응용

북한과 러시아의 사이버 공격, '사이버전 해커'와 '사이버 범죄자'의 경계를 붕괴시켜 대혼란의 시대 예고

(안보팩트=김한경 방산/사이버 총괄 에디터)

러시아어인 ‘마스키로프카(Maskirovka)’는 영어의 마스크(Mask·복면)와 같은 어원으로 ‘위장술’이라는 뜻을 갖고 있다. 타임(TIME)은 2014년 마스키로프카를 위장, 은폐, 속임수, 허위정보 등을 포함하는 군사적인 전술을 의미한다고 보도했다.

러시아 군의 ‘마스키로프카’ 전술은 1380년 몽골과 맞붙은 쿨리코보(Kulikovo) 전투가 그 시초라고 한다. 당시 러시아는 기마 병력을 둘로 나누어 한쪽 병력이 몽골군과 평지에서 전투를 하는 도중 인근 숲에 숨겨놓은 나머지 병력이 기습하여 승리를 거두었다고 한다.

마스키로프카의 전통은 2차 대전 당시 독일과의 전쟁에도 등장한다. 러시아는 전쟁 전 독일로부터 구경 100㎜ 대포를 구입함으로써 러시아가 100㎜짜리 대포로 무장한 것처럼 독일이 생각하게 만들었다. 그러나 러시아는 독일로부터 구입한 대포를 폐기처분하고 130㎜ 대포를 독자 생산하여 독일을 놀라게 했다. 러시아는 또한 천막 아래에서 군함을 제조하거나 자동차 공장에서 탱크를 만들기도 했다고 한다.

이와 같은 위장 전술을 러시아와 북한이 사이버전에도 응용하기 시작했다. 사이버 해킹 사건이 발생했을 때 ‘사이버전 해커’냐 ‘사이버 범죄자’냐를 구분하는 것은 지금까지 그다지 어려운 일이 아니었다. 하지만 러시아와 북한이 앞장서서 경계선을 흐려놓으면서 양상이 바뀌고 있다.

일례로, 러시아는 사이버 범죄자들이 즐겨 사용하는 랜섬웨어(Ransomware)로 위장하여 사이버 공격을 하고 있다. 랜섬웨어는 컴퓨터 사용자의 중요 파일을 암호화하여 사용할 수 없게 만든 후 암호를 풀어주는 대가로 금품을 요구하는 악성 프로그램이다. 러시아가 사이버 공격에 사용하는 ‘낫페트야(NotPetya)’는 랜섬웨어로 위장하고 있지만 사실은 데이터 파괴형 악성 프로그램이다.

낫페트야는 파일을 암호화하고 복구를 원하면 돈을 보내라는 협박 편지를 화면에 띄우는 등 겉모습은 영락없는 랜섬웨어이다. 하지만 복호화 키라는 것이 애초부터 존재하지 않았고, 암호화된 파일들은 전부 삭제되었다. 보안 업체 크라우드스트라이크(CrowdStrike)는 “랜섬웨어인 것처럼 보이게 하여 시간을 충분히 끌면서 원래 목적인 데이터 ‘파괴’를 실시하는 것이 낫페트야의 전략”이라고 분석한다.

낫페트야 공격은 원래 우크라이나의 주요 시스템에 있는 데이터를 삭제하는 것이 목표였으나, 미국과 러시아 그리고 덴마크의 일부 기업도 피해를 보았다. 러시아는 “우리도 당했는데 누명 씌우지 말라”고 주장했지만 미국, 영국, 캐나다, 뉴질랜드, 호주 모두 “낫페트야는 러시아의 짓”이라고 발표했다.

2017년 5월 등장한 워너크라이(WannaCry)는 윈도우 시스템을 공격하는 랜섬웨어로서, 사이버 전문가들은 배후에 북한이 있을 것으로 생각한다. 미국 국가안보국(NSA)이 개발한 취약점 공격 도구인 이터널블루(EternalBlue)가 섀도 브로커스라는 해커 그룹에 의해 유출된 후 워너크라이 공격에 일부 사용되었다고 전해진다.

보안업체 플래시포인트(Flashpoint)는 “경제제재로 압박을 받는 북한은 사이버 공간에서 돈을 충당하기로 마음먹었고, 각종 해킹 공격을 통해 수익을 창출하고 있다”고 설명한다. 북한은 워너크라이 등 다양한 방법으로 암호화폐 거래소를 공격하거나 전 세계적인 금융 네트워크인 SWIFT를 통해 여러 은행들을 턴 것으로 의심받고 있다.

플래시포인트는 “북한으로 의심되는 사이버 공격은 거의 대부분 ‘돈 벌이’에 목적이 있어 전형적인 사이버전 해커와는 다른 양상을 보이며, 공격 패턴도 없고 예측도 불가능하다”고 말한다. 즉 여러 가지 위장술을 사용하여 돈을 노리는 사이버 범죄자처럼 행동함으로써 ‘사이버전 해커’와 ‘사이버 범죄자’의 경계를 더욱 흐리게 만들고 있다.

이처럼 사이버전 해킹과 사이버 범죄의 구분이 어려워지게 되면서 공격 전략은 매우 풍부해지고, 방어할 것은 더욱 많아졌다. 사이버 범죄가 일어나도 사이버전 부대를 의심하면서 ‘외교적 문제’까지 고려해야 하는 상황이다.

한편, 워싱턴포스트는 금년 2월 24일 미국 정보당국자의 말을 인용하여 “러시아 군 정보요원들이 평창 올림픽 조직위와 관련된 컴퓨터 약 300대를 해킹했으며, 북한 소행처럼 보이도록 기술적인 위장도 시도했다”고 보도해 큰 파장을 일으키기도 했다. 당시 그 보도가 주목을 받은 건 “러시아 해커들이 북한 해커로 위장했다”는 부분 때문이었다.

크라우드스트라이크는 “러시아의 마스키로프카 전술을 생각하면 충분히 제기할 만한 의혹으로 타당한 분석이며, 마스키로프카 전술의 장점을 파악한 나라들이 비슷한 방법으로 사이버 공격을 감행한다면 그야말로 대혼란의 시대가 올 것”이라고 경고했다.