최근 피트 헤그세스 미 국방부 장관은 우크라이나 종전 협상이 진행되는 동안 러시아에 대한 사이버 공격과 정보 작전을 중단할 것을 사이버사령부에 명령했다. 이는 단순한 전술 변화가 아니다. 러시아의 사이버 공격이 줄어들 기미가 보이지 않는 시점에 억제력을 포기하는 것에 가깝다.
사이버 분쟁이 끊이지 않고, 적대 세력이 약점을 감지하면 어디든 경계를 허무는 시대다. 이런 때에 사이버 작전 중단 결정은 러시아 해커, 정보 기관, 그리고 관련 범죄 조직에게 더 이상 적극적으로 대응하지 않겠다는 신호를 보내는 것과 같다.
사이버 억제력(cyber deterrence)은 이론에 그치는 것이 아니라, 실제적이고 인식된 위협이 만들어낸 미국 사이버 부문의 성과다. 이 덕분에 러시아의 랜섬웨어 조직들이 미국의 주요 시설을 마음대로 마비시키지 못하고, 국가 후원을 받는 해커들이 전력망이나 선거 시스템에 함부로 침입하지 못했다.
미국이 러시아를 겨냥한 사이버 대응 계획을 중단하면, 적대 세력이 원하는 바를 얻을 가능성은 늘어난다. 즉, 걸림돌과 압박을 낮추고 사이버 공격을 확대할 수 있는 더 많은 자유를 주게 된다. 또한 연방 정부의 노력이 줄어든다는 것은 민간 산업계에도 영향을 미친다. 러시아의 공격 그룹이 사이버 공격 도구를 더욱 발전시킬 수 있는 여유 시간이 생기기 때문이다.
국방에서 실제 역할을 하는 ‘사이버 억제력’
수년간 미국 사이버사령부는 적대 세력의 균형을 무너뜨리기 위해 지속적인 개입 전략을 펼쳤다. 이 전략은 단순히 사이버 공격이 일어나기를 기다리지 않고, 그전에 적대 세력의 역량을 적극적으로 약화시켰다. 2018년 이후 사이버 공간에서의 억제력은 냉전 시대의 대결 구도가 아니라, 미국을 겨냥한 사이버 공격을 더 어렵고, 비용이 많이 들며, 덜 효과적으로 만들기 위한 노력이었다.
역사적으로 이런 접근 방식이 잘 작동한 사례가 있다. 2018년 미국 사이버 부대는 중간선거 기간 동안 러시아의 인터넷 연구 기관(Internet Research Agency)에 직접적인 조치를 취해 허위 정보 유포 작전을 방해했다. 2020년에는 사이버사령부와 민간 파트너사가 러시아 랜섬웨어 및 스파이 활동의 핵심이었던 트릭봇(TrickBot) 봇넷을 해체한 바 있다.
또한 2021년 러시아 랜섬웨어 그룹 레블(REvil)을 상대로 펼친 작전은 이 그룹이 미국 기업을 공격할 가능성을 크게 약화시켰다. 각각의 대응은 러시아 사이버 공격자에게 실질적인 타격을 줬다. 그 결과 공격자들은 기반 시설을 다시 구축하고 전략을 재검토해야 했으며, 새로운 공격을 시도하기 전에 주저하게 됐다. 현재 우크라이나에서 미국과 동맹국이 수행하고 있는 선제적 방어 작전은 이런 효과를 더 확대하고 있다.
대러시아 사이버작전 중단은 중요한 압박 요소를 제거하는 조치다. 이는 러시아 사이버 부대와 관련 범죄자들에게 숨 돌릴 여유를 제공해, 기술을 정제하고 새로운 공격 벡터를 개발하며 더 공격적인 캠페인을 준비할 수 있게 할 것이다. 이는 추측이 아니라, 실제로 적대 세력이 작동하는 방식이다. 사이버 캠페인은 반복되며, 방어가 약해지면 공격은 늘어난다.
러시아가 대응 완화를 악용하는 방법
러시아는 미국 행정부과는 달리 사이버 공간을 절제 가능한 영역으로 보지 않았다. 40년 이상 지속적으로 사이버 작전을 통해 선거를 방해하고 기반 시설을 마비시켰으며, 민감한 데이터를 훔치고 기관을 불안정하게 만드는 캠페인을 벌여왔다. 미국이 사이버 대응을 완화할 조짐을 보이는 지금, 3가지 영역에서 특히 위협이 가속화할 것으로 예상할 수 있다.
첫째는 주요 기반 시설에 대한 표적화 증가다. 러시아는 전력망, 산업 시스템, 공급망을 교란하기 위해 계속 시도해 왔다. 10년 전 우크라이나에서 러시아 해커들은 표적화된 사이버 공격을 통해 수십만 가구의 전기 공급을 차단했다.
미국은 지금까지 이런 대규모 공격을 피했지만, 러시아 사이버 공작원이 더 이상 공격에 보복당하지 않겠다고 판단하면 미국의 에너지, 수도, 교통 시스템에 대한 조사를 확대할 수 있다. 이들은 중국의 볼트 타이푼(Volt Typhoon)과 같은 행위자들의 최근 행동을 모방할 만큼 대담해질 수 있다.
둘째는 러시아의 랜섬웨어 및 기타 범죄 활동의 확대다. 러시아 랜섬웨어 그룹은 사실상 사이버 용병으로 기능해 왔다. 이들은 수십억 달러의 불법 수익을 창출하면서 동시에 모스크바의 정치적 이익에 부합하는 방식으로 기업과 공공 서비스를 약화시켜 왔다.
록빗(LockBit)과 콘티(Conti) 같은 그룹의 활동은 법 집행 기관의 단속과 사이버사령부의 노력을 통해 일시적으로 약화됐지만, 미국이 대응을 중단하면 이들이 조직을 정비하고 공격을 강화할 수 있음을 예상해야 한다. 학교, 병원, 기업들은 다시 한번 미국의 방해 공작을 두려워하지 않는 랜섬웨어 운영자들의 위협에 노출될 수 있다.
셋째는 향후 몇 년간 사이버 경제 공격과 온라인 여론 조작 활동이 확대될 수 있다는 점이다. 미국 사이버사령부가 러시아의 국가 후원 사이버 공격에 대한 대응책을 마련하지 않는다면, 러시아 정보기관은 이 상황을 최대한 활용하려 들 수 있다. 공급망 공격, 정부 및 기업 네트워크를 겨냥한 피싱 캠페인, 기술 및 방위 부문에서의 은밀한 데이터 유출 증가는 불가피해 보인다.
마찬가지로, 오랫동안 미국 선거를 겨냥해 온 온라인 허위정보 유포 조직들이 더욱 공격적으로 활동할 가능성이 있다. 특히 미국이 적극적인 대응 작전을 펼치지 않는 동안 트럼프 대통령의 정치 전략이 힘을 얻으면 이 위험은 더욱 커질 수 있다.
요약하자면, 러시아의 사이버 공격자들은 늘상 자신들이 어디까지 할 수 있는지 시험해 왔다. 미국이 공격적인 사이버 계획을 포기하면 적대 세력의 행동을 통제할 기회를 잃게 된다. 이는 결과적으로 위협의 확대 및 진화로 이어질 수 있다.
민간 부문이 대안일 수 있을까?
현 미국 정부가 사이버 억제력에서 주도권을 잡지 않는다면, 민간 부문이 그 역할을 맡아야 한다. 보안 임원들, CISO들, 업계 리더들은 러시아 사이버 행위자들이 앞으로 몇 달 동안 더욱 공격적으로 변할 뿐만 아니라 실험을 시도할 의지도 커질 것이라고 가정하고 그에 따라 준비해야 한다.
민간 기업이 공격적 사이버 작전을 개시할 권한은 없지만, 여전히 사이버 공격의 비용을 높이고 공격자들의 보상을 줄이는 대안적 억제 메커니즘을 구현할 수 있다.
대기업은 기만 전술, 적대 세력 개입 도구, 더욱 공격적인 정보 공유를 포함한 적극적 사이버 방어 전략을 확대할 수 있다. 허니 토큰, 카나리 파일, 유인 시스템 등 사이버 기만 전술을 실시하면 적대 세력이 정찰에 더 많은 자원을 소비하게 되어 노출과 실패의 가능성이 높아진다. 기업은 네트워크 내에 기만 요소를 삽입해 러시아 해커들을 지연시키고 교란하며, 실제 표적에 대한 불확실성을 만들어낼 수 있다.
민간 부문은 고립된 보안 노력을 뛰어넘을 수 있는 모든 기회를 우선적으로 포착해야 한다. 업계 간 정보 공유 연합은 침해 지표 공유를 넘어 적극적인 위협 추적과 공동 완화 노력을 조율할 수 있다.
민간 부문은 마이크로소프트와 구글이 국가 후원을 받는 사이버 범죄 인프라를 해체한 바 있듯이 이미 이런 수준의 운영이 가능하다. 보안팀은 위협이 대규모 침해로 확대되기 전에 이를 무력화할 수 있는 공동 대응 프레임워크를 공식화해야 한다.
법적으로는 보복성 사이버 작전을 수행할 수 없더라도, 민간 부문은 기존의 법적·기술적 프레임워크 내에서 적대 세력의 기반 시설을 방해하기 위해 노력할 수 있다.
여기에는 다음과 같은 활동이 포함된다.
- 법적 조치 및 법원 명령을 통해 알려진 러시아 악성 코드의 명령 및 제어 서버를 적극적으로 해체한다.
- 가상 환경을 구축해 적대 세력의 리소스를 유인하고 소진시켜, 시간과 노력을 낭비하도록 만든다.
- AI 기반 위협 분석을 활용해 알려진 적대 세력의 전술, 기술, 절차가 실제 작전에 사용되기 전에 선제적으로 차단한다.
마지막으로, 보복을 통한 억제가 불가능하다면 유일한 대안은 차단을 통한 억제다. 이는 적대 세력이 공격을 성공시키기 어렵고 비용이 많이 들어 시도조차 하지 못하게 하는 전략이다. 이를 위해서는 업계 전반에 걸쳐 기본적인 사이버 방어를 넘어선 첨단 보안 조치가 필요하다. 여기에는 다음 사항이 포함된다. (1) 제로트러스트 보안 모델을 구현해 접근을 분할하고 대규모 침해를 방지한다. (2) 침입을 몇 시간이나 며칠이 아닌 몇 분 내에 격리하고 무력화할 수 있는 자동화된 대응 시스템을 구축한다. (3) 특히 러시아의 전술, 기술, 절차에 대비해 실전과 같은 사이버 공격 시뮬레이션을 정기적으로 실시한다.
정부의 지원 여부와 관계없이 계속돼야 하는 조치
정부가 공격적 사이버 계획을 중단한다고 해서 긴장은 완화되지 않으며, 오히려 적대 세력이 악용할 틈을 만들 수 있다. 정부와 업계 보안 전문가들은 러시아가 이런 정책 변화를 악용해 사이버 작전을 확대할 수 있다는 점을 염두에 두어야 한다. 미국 정부의 이번 결정으로 국가의 주요 억제 수단은 사라질 수 있지만, 억제력 자체는 여전히 필요하다.
또한 정부가 행동하기를 꺼린다면, 민간 업계와 보안 전문가들이 자체적인 전략을 개발해야 한다. 적극적인 사이버 방어, 정보 협력, 선제적 방해, 그리고 회복력 중심의 억제는 단순히 이론적인 대응이 아니라 필수적인 생존 전략이 되고 있다. 사이버보안 커뮤니티는 러시아의 다음 사이버 공격을 기다리기만 해서는 안 된다. 이미 오고 있기 때문이다.
[email protected]
Read More from This Article: 칼럼 | 미국의 대러시아 사이버작전 중단··· 위협은 여전하다
Source: News