사이버 전쟁이란?

안녕하세요. 여러분 Chaning입니다.

오늘의 주제는 사이버 전쟁입니다.

컴퓨터 기술이 발달하면서 사회 주요 시설 및 군사 시설의 전산화로 전쟁 방식에도 변화가 생겼습니다. 총과 칼을 앞세운 방식의 전쟁보다 사이버 공간에서 상대 국가의 정보를 탈취하거나 공급망을 공격하여 사회 시설과 자산에 피해를 입히는 방식이 늘어났습니다.

일례로 현재 전쟁중인 우크라이나와 러시아가 실제 병력으로 정면 충돌하기 전, 양 국가는 암암리에 서로의 사회 기반 시설이나 기밀 정보를 탈취하기 위한 사이버 전쟁이 활발하게 이루어지고 있었습니다.

우리나라의 경우에도 생각나는 국가가 몇 있으시죠? 🤔

사이버 전쟁이 얼마나 중요한지 더 자세하게 알아보시죠.

사이버 전쟁 | Cyberwarfare

적국에 디지털 공격을 가하여 실제 전쟁과 유사한 피해를 입히거나 중요한 컴퓨터 시스템을 교란시키는 것을 말합니다. 여기서 디지털 공격이란 다양한 의미를 가질 수 있는데요. 주요 자원 시설을 해킹하여 가동에 문제가 생기게 하거나 강제로 중지시키는 것, 적국의 군사 공격에 활용할 정보를 탈취하는 것 등의 적국의 컴퓨터 시스템을 파괴하거나 이용하여 피해를 입히는 것으로 이해할 수 있습니다.

• 사이버 전쟁의 정의에 대한 내용은 의견이 분분합니다만 이 글에서는 인명 피해의 발생 여부와는 관계 없이 국가 간 비공식적이고 불법적인 사이버 교란 행위 자체를 사이버 전쟁으로 판단하겠습니다. 필자의 개인적인 의견입니다.

사이버 전쟁

즉, 쉽게 말해서 적대 관계를 형성하고 있는 적국에 대해 사이버 공격을 감행하여 사회 및 군사 시설에 대한 피해를 일으키는 것입니다. 이러한 공격은 비공식적으로 진행되기 때문에 각 국가에서는 자신들의 혐의를 부인합니다. 만일 걸린다고 하더라도 국가의 지시를 받았다는 사실을 밝혀내기는 어려워 투자 비용 대비 효율이 좋은 편이죠.(가성비충)

그렇다면 어떤 목적을 가지고 사이버 전쟁을 일으키는 것일까요?

목적

각 국가마다 얽힌 이해 관계가 다르기 때문에 몇 가지의 큰 범주에서 확인하겠습니다.

1. 돈: 주로 국가의 재정이 넉넉하지 않은 국가의 목적입니다. 가상화폐 거래소를 해킹하여 코인을 탈취하거나 은행 시스템을 해킹하는 방식을 통해 국가의 재원을 마련하거나 활동에 필요한 돈을 마련합니다. 가장 흔한 예로는 북한이 있습니다. 김정은은 뚱뚱하던ㄷ..
2. 선전 및 선동: 다양한 형태로 정보를 통제하고 여론에 영향을 미치기 위해 사용합니다. 일종의 심리전으로 SNS, 가짜 뉴스 웹사이트 등을 활용하여 일어납니다. 선전을 효율적으로 달성하기 위해 여론의 인식을 형성하고 인지를 조작하고 행동을 지시하는 과정을 거쳐 체계적으로 시도합니다. 세뇌당한 대중은 자유 민주주의 국가에서 막강한 영향을 줄 수 있기 때문입니다. 코인 떡상을 외치던 그들이 생각나네요. (내 돈…)
3. 시설 파괴: 물리적 전쟁을 위한 준비 단계로 생각할 수 있습니다. 사회 주요 시설이라고 할 수 있는 관공서, 방송국과 발전소, 파이프라인 같은 자원 생산 시설 그리고 전쟁에 가장 필요한 군사 시설의 네트워크에 침투하여 전쟁에 필요한 정보를 수집하고 전쟁이 시작되면 요격할 수 있도록 많은 정보를 모으거나 시스템을 차단하여 제 기능을 할 수 없도록 합니다. 러시아와 우크라이나 전쟁에서도 방송국이나 발전소를 파괴하는 것을 볼 수 있습니다.
4. 첩보 수집: 007, 미션임파서블 같은 첩보원이 나오는 영화에서 정보를 수집하거나 테러를 막기 위해 첩보원이 직접 침투하여 다양한 미션을 수행하는데요. 물론 실제 첩보를 알아내기 위해 활동하기도 하겠지만 사이버 상에 기록되고 저장된 정보는 해킹을 통해 빼오는 것이 훨씬 효율적이고 안전한 방법입니다.(멋있는거 < 편한거)

그렇다면 무엇을 계기로 이렇게 무시무시한 일들을 벌이는 걸까요?

국가 간 대립 관계의 배경에 대해 간단하게 알아보시죠!

배경

1. 한국 — 북한: 세계 유일의 분단 국가이죠. 6.25 전쟁 이후에도 서로 공작원을 보내며 위협했습니다. 20세기 후반으로 넘어오며 컴퓨터가 보급되고 기술이 발달하여 사회 시설이 전산화되자 북한의 정찰총국이라는 첩보 기관에서는 사이버 전쟁을 위한 해커들을 양성하기 시작했습니다. 북한 소속의 해커들은 국내의 발전소, 병원뿐만 아니라 해외 기업인 소니, 방글라데시 은행 해킹 등의 굵직한 사건들을 일으킨 주범으로 지목되고 있습니다. 국내에서는 공식적으로 북한을 공격하는 집단이 없지만 북한의 공격 및 사이버 테러에 대응하는 CERT를 운영중입니다.
2. 러시아 — 우크라이나: 2014년 러시아가 우크라이나 정권 교체 과정에서 러시아인을 보호한다는 명목으로 크림 반도를 점령하여 러시아로 통합되었습니다. 이후 미국과 EU에서 러시아에 국제적 제재를 가했지만 러시아는 우크라이나의 NATO 가입이나 제 3국이 우크라이나의 영토를 활용하는 등의 간섭 행위가 일어날 시 보복을 예고했고 2022년 2월 24일 전쟁이 시작됐습니다. 이 과정에서 병력을 배치하기 전 2021년 중반부터 우크라이나의 사회 시설에 대한 해킹 피해가 발생했고, 물리적 전쟁이 시작되기 전부터 전쟁 중인 현재에 이르기까지 러시아와 우크라이나 뿐만아니라 어나니머스 등의 민간 해킹 그룹까지 연관되어 아수라장을 만들고 있습니다.
3. 미국 — 이란: 사이버 공격의 가장 대표적인 사례입니다. 스턱스넷(STUX.NET) 사건이 있는데요. 이란이 핵 무기 개발에 쓰이는 우라늄을 생산하지 못하도록 미국이 방해한 사건입니다. 독일 지멘스사의 산업 시스템에 침투하여 내장된 소프트웨어를 교묘하게 변경한 후 실제 시설의 성능은 떨어져 있지만 관리자 PC에서는 정상 동작하는 것처럼 보이게 만들었습니다. 지멘스사의 시스템을 사용하는 많은 업체들 중에서 이란의 핵 시설을 집중적으로 공략했습니다. 우라늄 농축을 위한 원심분리기의 모터 회전수를 조작했는데, 이를 통해 아무도 모르는 사이 이란의 핵 원료 제조는 망하고 있었던 것입니다. 영문도 모르는 관리자는 속이 타 뒤집어졌겠죠?

사이버 전쟁은 국가 사이에 무력 충돌이 일어나는 전쟁과 마찬가지로 국가 간의 대립이 원인이 되어 일어나는 것임을 알 수 있습니다.

그렇다면 어떤 방식으로 공격이 이루어지는지 확인해볼까요?

예시

사이버 공격에 가장 많이 활용되는 공격 방식만 준비해봤습니다.

• 악성코드

과거부터 사이버 공격에 많이 활용되었습니다. 이전에는 사용자 PC에 직접적으로 침투하기 위해 방화벽이나 침입 방지 시스템을 우회한 후 악성코드를 유포하는 방식이었습니다. 하지만 최근에는 소프트웨어의 제로데이 취약점을 노려 업데이트 서버에 침입한 후 서버에 악성코드를 심은 업데이트 패치 파일을 업로드하여 업데이트를 실행한 사용자를 감염시킵니다. 이러한 악성코드에는 사용자 몰래 PC 운영 권한에 접근하는 루트킷, PC에 있는 파일을 암호화한 후 금전을 요구하는 랜섬웨어, PC에 몰래 침투한 후 사용자의 정보를 비밀리에 수집하여 제 3자에게 전송하는 스파이웨어 등 다양합니다. 만약 공공기관의 PC가 언급된 악성코드 중 하나라도 감염되었다면 기밀이 유출되는 등의 피해가 일어날 수 있습니다.

• APT 공격

지능형 지속 위협이라는 뜻의 APT 공격(Advanced Persistent Threat)은 다양한 기법을 사용하여 사용자를 속여 정보를 탈취하는 방식의 공격입니다. 특이한 점은 바로 공격을 실행하지 않고 오랜 기간동안 잠복기를 두고 천천히 시스템에 대한 정보를 수집한 후 필요한 정보를 모두 얻었거나 더 이상 이용가치가 없어지면 시스템을 파괴합니다. 타짜 보신 분들은 아시는 내용인 예림이에게 속은 호구 아저씨를 생각하시면 됩니다. (예림이!!)

보통 사람의 심리를 이용하는 사회공학적 기법을 사용해 1차 침입을 시도하는데요. 위에 언급된 악성코드처럼 해킹하는 과정보다 인간관계나 SNS 등 누구나 수집할 수 있는 정보를 이용하기 때문에 해커의 입장에서는 쉽고 진입장벽이 낮은 공격입니다. 북한의 해커들이 주로 사용하는데, 학회나 기업의 채용팀 또는 업무 관련자를 사칭한 이메일을 보낸 후 이메일에 백도어를 심은 파일이나 링크를 첨부하여 사용자가 클릭하고 실행하도록 유도합니다. 지인이나 업무적인 느낌을 주는 이메일을 사용해 발송하기 때문에 속아넘어가기 쉽습니다. 백도어가 설치된 PC는 해커가 자유롭게 드나들 수 있는 통로가 생긴 것이나 마찬가지인데요. 이를 통해 해당 시스템에 있는 정보를 수집하고 더 높은 권한을 얻기 위해 취약점을 찾아 접근할 수 있는 정보가 가장 많은 계정을 찾아갑니다. 이후 원하는 것을 다 얻어내면 시스템을 파괴하고 사라집니다.

• DDoS 공격

이 공격은 간단하게 말씀드리면 오로지 파괴를 위한 공격입니다. 기업이나 공공기관에 대한 공격 뿐만 아니라 민간에도 피해를 줍니다. DDoS 공격은 특정 서버가 소화할 수 없는 규모의 트래픽을 한꺼번에 일으켜서 서비스 체계를 마비시키는 공격방법입니다. 이 때, 대규모 트래픽을 일으키기 위해 필요한 것이 다수의 PC인데요. PC에 침입한 이후 감염시켜 해커가 원하는대로 행동할 수 있는 좀비 PC로 만들어 공격에 활용하는 것입니다. DDoS 공격은 공격의 근원지를 특정하기 어려워 주동자를 색출하기 어렵고 서버를 마비시키기 때문에 군 시스템뿐만 아니라 민간 사이트까지 큰 피해를 발생시킬 수 있습니다. 2021년 KT에서 전산망 장애로 약 40분간 모든 서비스가 멈춘 적이 있었는데, 점심에 먹은 불백을 카드로 계산할 수 없어 곤란했습니다. ㅠㅠ

이러한 공격들을 예방하기 위해서는 어떻게 해야할까요?

• 예방법

1. 출처가 불분명한 파일, 링크를 열어보거나 다운로드 받지 않습니다.
2. 업데이트를 항상 최신으로 유지해야 합니다. 보안 업데이트는 취약점을 수정하여 배포하는 방식이기 때문에 공격에 노출되는 부분이 줄어듭니다. 여기서 꿀팁!!!!!! 최신으로 유지하는 것이 좋긴 하지만 살짝 간(?) 보는 것이 중요합니다. 출시되고 몇 일 이후에 뉴스도 살펴보면서 최신 업데이트 버전에 문제는 없는지 확인해보고 하시는 것을 강추드립니다.(대신 조금 귀찮음 ㅎ)
3. 신뢰받은 사이트만 접속해야 합니다. 인터넷 사이트를 이용하다보면 간혹 http://로 시작하는 링크와 https://로 시작하는 링크가 있는데요. 보안 설정이 되어 있는 Hypertext Transfer Protocol Secure의 약자인 HTTPS를 사용하셔야 합니다. 크롬의 경우 이것을 기준으로 주소 검색창 옆에 자물쇠 아이콘을 표시해줍니다.(🔒 = https)

피해 사례

최대한 최근의 사례 혹은 유명한 사례로 준비했습니다.

• 북한 — 미국, 한국

1. 소니 픽처스 엔터테인먼트 해킹 사건(2014년 11월 24일): 소니 픽처스사의 회사 관계자 간의 전자 메일, 직원의 개인 정보, 미공개 영화 본편의 복사 등 다양한 정보의 유출이 일어난 사건입니다. 이 공격의 첫 시작은 이메일이었는데요. 서던캘리포니아 대학에 다니는 크리스티나 카스턴이라는 인물인척 영화사 관계자에게 발송한 것을 시작으로 이메일에 이력서 페이지로 넘어가는 링크를 첨부하여 클릭하면 악성코드를 심어 해킹하는 방식을 사용했습니다. 이 공격으로 소니는 미공개 영화 5편, 대량의 내부 문건, 직원 개인정보 약 47,000개가 외부 유출되었으며 데이터 유출만으로 1억 7000만 달러가 넘는 금전적인 피해를 입었습니다.

2. 북한식 표기 사용으로 인한 메일 피싱(2021년): 국내 공공기관과 대북 전문가 등을 대상으로 이메일 피싱 공격을 사용했습니다. 피해자들이 열어볼 수 밖에 없는 이메일 발신자, 제목 등을 치밀하게 작성하여 워드 파일이나 한글 파일을 첨부해서 보냈습니다. 다운로드 받은 워드 파일을 열어 ‘콘텐츠 사용’ 버튼을 누르거나 한글 파일을 열면 악성코드가 실행됩니다. 첫 메일은 정상 문서를 첨부하여 의심을 덜어내고 두 번째 메일에 악성코드를 심는 치밀한 전략을 사용했습니다. 이로 인해 공공기관 사용자들의 PC 정보가 유출되고 대북 전문가들의 신상이 유출되었습니다.

여담으로는 해커들의 실수를 눈치챈 사람들은 공격을 피할 수 있었습니다. 평소 습관대로 북한식 영어 표기를 사용했기 때문인데요. 프로그램을 프로그람으로, 조선 노동당을 조선 로동당으로 표기하는 등의 실수를 했습니다. 다만 해커들도 눈치를 채고 프로그램으로 다시 바꿔 보냈습니다.(?)

프로그램을 북한식으로 표기한 프로그람

• 러시아 — 우크라이나

1. 비아셋(Viasat) 해킹 사건(2022년 2월): 러시아의 정보조직인 총정찰국(GRU)가 우크라이나를 침공이 시작된 날인 2월에 위성 인터넷 네트워크를 공격하여 수만 대의 모뎀을 무력화시켰습니다. 러시아는 이 공격을 통해 우크라이나 군의 명령과 통제를 방해하여 혼란을 주었습니다. 이로 인해 우크라이나 뿐만 아니라 같은 위성 인터넷 네트워크를 사용하는 유럽 국가들도 피해를 입었고 비아셋(Viasat)에서 제공하는 모뎀은 초기화를 해야하거나 아예 망가져서 폐기처분 해야했습니다.

2. 블랙에너지(BlackEnergy) 공격(2015년 12월 23일): 이 공격은 악성코드에 의한 최초의 정전 사태로 기록된 우크라이나 정전 사태의 주범입니다. 우크라이나 일부 지역에서 약 6시간 동안 8만 가구에 전력 공급이 중단되는 사건이었는데요. 이메일 첨부파일을 통해 악성코드가 유입되었고 MS사의 엑셀, 파워포인트 등의 문서를 통해 감염을 시도합니다. 악성코드가 실행되면 해커가 원격 조종 서버에 연결해 PC에 공격을 위한 프로그램을 설치합니다. 하드디스크를 파괴하거나 파일을 변조하는 등의 기능이 들어간 프로그램입니다. 정전의 경우 사회적으로 큰 피해를 초래할 수 있는데, 병원, 발전소 등에서 정전이 일어난다면 금전적 피해와 더불어 인명 피해까지 생길 수 있기 때문에 더욱 위험합니다.

최근 러시아-우크라이나 전쟁에서도 비슷한 악성코드를 사용하여 공격을 시도했으나 보안 업체인 이셋과 MS의 연계 방어로 미수에 그쳤다고 하는데요. 만약 공격이 성공했다면 우크라이나 일부 지역에서 정전이 일어나 해당 지역의 주민들이나 군인들이 피해를 겪을 수 있었습니다.

이 밖에도 훨씬 더 많은 피해 사례가 존재하지만 간단하게 몇 가지만 언급했습니다. (이해 부탁드립니다. 😅)

각 국가에서는 사이버 전쟁을 위한 대비를 어느정도로 하고 있을까요?

미국의 경우는 전문 요원 기준 약 16,500명, 북한의 경우 약 7,000명의 사이버군 병력을 편성했다고 합니다. 하지만 국내의 사이버군 병력은 2020년 국방백서 기준 약 600명이라고 하는데요. 국가 간 사이버 전쟁의 중요성이 더 중요해진 시점에서 터무니 없이 적다는 생각이 듭니다.

지속적으로 공격해오는 북한과 중국에 쉽게 당하지 않을 수 있도록 국내 사이버군의 병력을 위한 예산이 하루 빨리 마련되면 하는 바람입니다.

또한 이번 러시아와 우크라이나 전쟁을 보며 전쟁의 참혹함을 다시 깨닫게 되었는데요. 하루 빨리 전 세계에 평화가 찾아오길 기원하면서 오늘 포스팅 마치겠습니다.

읽어주셔서 감사합니다.

Chaning이었습니다. (안녕!)