모든 군대는 전장을 아군에게 유리하게 형성한다. 페르시아의 왕 다리우스 3세는 기원전 331년 알렉드로스 대왕과 일전을 벌이면서 그의 군대가 진군할 것으로 예상한 지역에 마름쇠를 뿌려놓았다. 연합군은 1944년 독일군 지휘부가 연합군이 노르망디가 아닌 파드칼레에 상륙할 계획이라고 속이기 위해 모형 비행기와 모형 상륙정을 사용했다. 2022년 2월 24일, 러시아도 그런 시도를 했다. 러시아 전차가 우크라이나 키이우를 향해 진격하기 한 시간도 안된 시점에, 러시아 해커들이 우크라이나군이 의존하는 위성통신 시스템을 먹통으로 만들었다.
우크라이나의 사이버보안 기관의 수장 빅토르 조라는 당시 러시아 사이버공격의 결과로 "전쟁 초기에 정말 심각한 통신 손실"을 입었다고 작년 3월 말했다. 서방의 전직 안보기관 관계자는 당시 공격이 "1~2년에 걸쳐 매우 진지한 준비와 노력"을 요했으리라고 평했다.
전장을 유리하게 형성하는 데 성공했다고 전쟁에서 꼭 이기는 건 아니다. 연합군의 경우는 승리했다. 노르망디 상륙작전은 성공적이었다. 다리우스 3세는 전쟁에서 패했고 왕위도 잃었다. 러시아도 키이우 함락에 실패했다. 러시아의 침략군은 키이우 전역(戰域)에서 패배했다. 러시아는 큰 노력을 들였음에도 불구하고 사이버전으로 우크라이나군을 혼란에 빠뜨리는 데 실패했다. 이는 흥미로운 일이다. 러시아의 우크라이나 침략은 아직도 새로운 영역인 사이버전의 시험대가 되고 있으며 양쪽 모두 사이버영역에 많은 노력을 기울이고 있다. 그렇지만 일각에서 예상했던 것처럼 전황에 결정적인 영향을 미치지는 못한 듯 보인다.
━
예상에 못 미쳤던 러시아의 사이버작전━
이런 식으로 민간 인프라를 노린 공격에 대한 소식은 숨기기가 어렵다. 하지만 군 장비에 대한 공격은 다르다. 우크라이나군은 전쟁 내내 철저한 작전 보안을 유지하며 군 네트워크가 침투당하거나 공격을 받은 적이 있는지(실제로 있었다)에 대해 아무런 실마리를 주지 않았다. 그러나 러시아군의 사이버공격의 가시적 성과는 놀라울 정도로 미미했다. "우리는 효과가 훨씬 클 것으로 예상했는데 그렇지 않았죠." 미 국방부의 사이버정책 부차관보 미에케 이어양의 11월 16일 발언이다. "러시아의 사이버전력은 재래식 전력과 마찬가지로 예상에 못 미치는 활약을 보였습니다."
전쟁 초기 우크라이나의 인프라는 대체로 잘 작동하고 있었다. 수도 인근에서 치열한 전투가 벌어지고 있었으나 전깃불이 나가는 일은 없었다. 은행도 정상 영업 중이었다. 러시아의 사이버공격으로 대규모 정전 사태를 겪었던 2015, 2016년과는 달리 전기는 지속해서 공급되고 있었다. 정보 공급도 마찬가지였다. 볼로디미르 젤렌스키 우크라이나 대통령이 야간 대국민 담화를 방송하는 데 심각한 문제는 없었다. 당시 러시아의 목표가 우크라이나 국민의 정부에 대한 신뢰에 흠집을 내고 우크라이나를 통제 불능 상태로 만들려는 것이었다면 이는 실패한 셈이다.
러시아의 사이버공격이 실패한 가장 중요한 원인은 우크라이나의 효과적 방어였다. 영국 NCSC(국가사이버보안센터)의 린디 캐머런 센터장은 러시아의 공격이 "역사상 가장 치열하고 오래 지속된 사이버공격"이라고 말한다. 그러나 영국의 신호정보 전문기관 GCHQ(정부통신본부)의 제러미 플레밍 본부장은 작년 8월 이코노미스트에 기고한 글에서 우크라이나의 대응을 두고 "역사상 가장 효과적이었던 사이버방어"라고 평했다. 우크라이나는 오랫동안 러시아의 사이버작전의 시험대 역할을 했다. '인더스트로이어2'의 전신인 '인더스트로이어'는 2016년 우크라이나의 대규모 정전 사태를 초래했다. 이 사태로 우크라이나 정부는 러시아의 사이버작전에 대한 이해를 얻을 수 있었고 자국의 인프라를 강화할 시간을 벌 수 있었다.
덕분에 러시아가 우크라이나를 침공했을 때, 우크라이나의 사이버사령부는 이미 비상 대책을 갖춘 상태였다. 몇몇 요원은 키이우를 떠나 보다 안전한 곳으로 흩어졌다. 다른 요원들은 전선 인근의 통제소로 이동했다. 중요한 정부 업무는 러시아 미사일이 닿을 수 없는 유럽 다른 나라의 데이터센터로 이관됐다. 위성통신망에 장해가 생길 수 있음을 인지하고 있던 우크라이나군은 대체 통신수단을 미리 확보하고 있었다. 작년 9월 우크라이나 사이버보안 기관의 수장 빅토르 조라는 러시아의 위성통신망 공격이 결과적으로 "우크라이나의 군 통신 및 작전 능력에 아무런 전술적 영향을 미치지 못했다"고 말했다.
━
우방의 중요성━
역설적이지만 우크라이나의 산업 관제 시스템 대부분이 소련 시절의 원시적인 수준에서 업그레이드가 안 된 상태였다는 것도 우크라이나의 사이버전 대응에 도움이 됐다. 2016년 인더스트로이어가 키이우의 변전소를 공격했을 때, 수 시간 후 시스템을 수동으로 리셋할 수 있었다. 작년 4월 인더스트로이어2가 전력망 일부를 다운시켰을 때는 4시간만에 복구했다.
민간 사이버보안 업체도 중요한 역할을 했다. 우크라이나 사이버보안 기관의 수장 빅토르 조라는 우크라이나 전산망에서 존재감이 커 중요한 '텔레메트리(네트워크 데이터)'를 수집할 수 있었던 마이크로소프트와 슬로바키아 기업 ESET이 특히 큰 도움이 됐다고 꼽는다. 마이크로소프트는 사람보다 훨씬 빠른 속도로 코드를 스캔할 수 있는 인공지능 덕분에 사이버공격을 더 쉽게 탐지할 수 있게 됐다고 한다. 작년 11월 3일, 브래드 스미스 마이크로소프트 부회장은 우크라이나에 대한 무료 기술 지원을 2023년 말까지 연장하겠다고 발표했다. 우크라이나에 대한 마이크로소프트의 기술 지원은 4억 달러(약 5000억 원)에 달할 것으로 추정된다.
우크라이나가 만만치 않은 상대라는 데는 의문의 여지가 없다. 한편으로는 러시아의 사이버전 능력이 과대평가 된 것 아니냐는 의문을 품는 이도 있다. 미국 국가안전보장회의에서 러시아국 국장을 역임했던 게빈 와일드는 러시아 정보기관이 오랜 사이버첩보 경험을 가진 반면 러시아군의 사이버전력은 서방 라이벌에 비해 "연륜이 많이 부족"하다고 한다. 미국은 1990년대 아이티와 코소보에 군사 개입하면서 작전에 사이버 부문에 대한 계획도 통합하기 시작했다. 하지만 러시아는 그런 생각을 하게 된 지 6년 정도밖에 되지 않았다는 게 와일드의 이야기다.
미국, 유럽, 우크라이나 관계자들 모두 러시아가 사이버공격을 물리적 공격과 시간을 맞춰 실시한 사례가 많다고 입을 모은다. 이는 러시아의 재래식 전력과 사이버 전력의 협응이 상당 수준임을 시사한다. 그러나 어설픈 실수도 있었다. 플레밍 GCHQ 본부장은 러시아군이 자국의 사이버 전력이 침투해 악성코드로 감염시키려 했던 네트워크에 물리적 공격을 가해 망가뜨린 몇몇 사례가 있다고 한다. 우크라이나군이 보다 안전한 통신수단을 사용하게 되는 역설적인 결과로 이어진 것이다.
러시아의 사이버전 능력이 투박하다는 지적도 있다. 뭔가를 망가뜨리는 데는 능하지만 요란하고 정확성이 떨어진다는 것. 나토의 최고위 정보 책임자인 데이빗 캐틀러는 러시아가 우크라이나에 사용한 파괴적 악성코드의 양이 "러시아를 제외한 사이버전 강대국들이 통상적으로 한 해 사용하는 양보다 많았다"고 한다. 하지만 사이버전을 사용한 악성코드의 양으로 평가하는 건 마치 보병 부대의 능력을 쏜 총알의 수로 판단하는 것과 같다. 최근 <공세적 사이버 작전>이란 책을 쓴 다니엘 무어는 지금까지 알려진 러시아의 핵심 인프라 공격 사례 전부가 너무 일찍 발각됐으며 오류가 많았거나 의도했던 목표물 이상으로 과도한 피해를 냈다고 한다. 2017년의 낫페트야(NotPetya) 공격이 대표적인 사례인데 원래 목표였던 우크라이나를 넘어 전세계로 퍼지면서 100억 달러(약 12조 원)의 피해를 야기했다.
"러시아가 사이버공간에서 실시한 공격에는 거의 모든 사례에서 중대한 작전상 약점이 있었습니다." 무어는 정반대의 경우로 스턱스넷을 꼽는다. 이란의 핵시설을 공격하기 위해 이스라엘과 미국이 개발한 악성코드로 12년 전에 최초로 발견됐다. IT 업계의 관점에서 12년 전은 고대와 다름없다. "스턱스넷에 사용된 기술은 오늘날 러시아에서 볼 수 있는 악성코드 상당수에 비해 훨씬 복잡해요."
━
현실과 사이버공간의 차이━
서방 관계자들은 러시아가 우크라이나의 전력, 에너지, 운송 인프라에 강력한 사이버공격을 하지 못한 까닭이 그럴 능력이 없어서가 아니라 자군이 곧 우크라이나를 점령하고 그 인프라를 활용할 것이라고 여겨서였다고 한다. 곧 필요로 하게 될 걸 무엇 하러 파괴하겠는가? 전쟁을 예상과 달리 질질 끌게 되자 러시아의 사이버전력도 상황에 적응해야 했다. 그러나 사이버무기는 물리적 무기와는 다르다. 금방 방향을 바꿔 다른 목표물을 조준할 수도 없고 탄약을 보급받으면 바로 재공격이 가능하지도 않다. 사이버무기는 목표물에 맞춰 만들어지기 때문이다.
위성통신망에 대한 공격과 같은 복잡한 공격은 공격 대상 네트워크에 대해 각고의 노력을 기울여 정찰하는 등 엄청난 준비작업이 필요하다. 2021년 출간한 논문에서 취리히연방공대의 레나르트 마슈마이어는 2015년 GRU의 우크라이나 전력망 공격이 계획에 19개월이 걸렸지만 2016년 공격에는 2년 반이 걸렸다고 설명했다. 이런 공격을 실시하면 적에게 자신이 사용하는 도구(코드)와 인프라(서버)를 노출하게 되는데 결국 사용할 때마다 그 효과가 줄어들게 된다.
전쟁 첫 주에 위성통신망 공격처럼 정교하게 짜둔 작전을 다 소진하자, 러시아의 사이버공격은 보다 임기응변, 기회주의적 성향을 띄게 됐다. 러시아가 키이우를 포기하고 돈바스로 진격하기 시작한 작년 4월부터 와이퍼 공격의 빈도는 급격히 줄었다. 작년 11월 구글의 알파벳이 소유한 사이버보안 기업 맨디언트에 따르면 GRU는 이제 빠른 공격을 위해 은밀성을 포기하면서까지 공유기 라우터, 방화벽, 이메일 서버 같은 '주변적'인 기기들을 공격하고 있다.
"러시아 사이버전의 현 상황은 생산가능곡선으로 설명할 수 있겠습니다." 맨디언트의 존 울프럼은 경제학에서 주어진 자원으로 생산할 수 있는 두 재화의 조합을 나타내는 그래프로 설명을 시작한다. "갖고 있는 전문성과 자본은 한정돼 있기 때문에 이걸 어떻게 사용할지 결정해야 해요. 정교한 특수작전 한두 개를 실시할 수도 있고 자원을 덜 쓰는 작전 50개를 실시할 수도 있죠." 후자를 선택한다고 해서 전자를 택할 능력이 없는 건 아니다. "러시아가 우크라이나에서 목격된 것보다 더 큰 규모와 영향력을 가진 사이버공격 능력을 가졌다는 건 거의 확실합니다." 나토의 데이빗 캐틀러의 생각이다. "(우크라이나 전쟁에서) 아직 양측이 사이버공격 능력을 최대로 사용하진 않은 상태입니다." GCHQ 출신인 윌렛도 같은 생각이다.
이런 평가가 사실이라면 전쟁의 진행에 따라 러시아가 사이버공격을 최대로 발휘하게 될 수도 있다. 작년 9월 발생한 노드스트림1, 2 가스관에 대한 사보타주와 우크라이나 전력망에 가한 미사일 공격은 러시아가 점차 더 큰 리스크도 마다하지 않고 있음을 시사한다. 사이버전장에서도 비슷한 징후가 관측된다. 한 영국 정부 관계자는 과거 낫페트야 사건을 잘 기억하고 있는 러시아 정부가 나토와 분쟁이 생기는 걸 피하기 위해 처음에는 사이버공격의 대상을 우크라이나에 한정하고 있었다고 말한다. 하지만 상황이 바뀌고 있는 듯하다. 작년 9월말 러시아 해커그룹 샌드웜은 나토 회원국을 대상으로 한 최초의 사이버공격을 실시했다. '프레스티지'라는 이름의 악성코드는 우크라이나에 대한 군사 원조의 허브라 할 수 있는 폴란드의 교통·수송 부문을 겨냥했다.
사람들이 사이버전의 위력을 오해하고 있다는 견해도 있다. NCSC 센터장을 역임한 시아랑 마틴은 사이버작전이 치열하고 중요한 것은 사실이나 이번 우크라이나 전쟁이 전시상황에서는 사이버 부문의 위력이 크게 제한됨을 보여줬다고 말한다. 스턱스넷은 '에어갭(사이버공격을 피하기 위해 물리적으로 인터넷과 단절시키는 보안 기법)' 상태였던 이란의 핵시설을 감염시킨 후 핵시설의 장비를 물리적으로 망가뜨렸고, 그럼에도 수개월간 발각되지 않았다. 스턱스넷의 성공으로 말미암아 사이버공격을 포탄이나 미사일을 대신할 수 있는 마법의 무기처럼 여기는 왜곡된 시각이 자라났다는 것이다. 마틴은 스턱스넷 사례는 사이버전의 세계에서 달 착륙 같은 것이라고 주장한다. 다시 말해 초강대국의 자원을 투입해야만 겨우 한번 성공할까 하는 일이지 사이버전에서 상시로 사용할 수 있는 게 아니라는 것.
또한 마틴은 사이버 부문이 "아무런 흔적도 남기지 않고 행동할 수 있는 무슨 마법의 투명 전장"도 아니라고 한다. 제대로 방어를 구축한 컴퓨터 네트워크에 심각한 피해를 입히는 것은 어려울뿐더러 이런 공격의 배후에 누가 있는지를 입증하는 건 (일반적으로 생각하는 것과 달리) 쉬운 편이라 한다. 아무런 책임도 안 지고 사이버공격을 할 수는 없다는 것. "사이버전에 대해 온갖 과장이 난무하지만 우크라이나 침공 이후에 푸틴은 사이버공간에서 서방에게 심각한 피해를 거의 끼치지 못했습니다." 마틴의 지적이다.
이런 논쟁에 마침표를 찍고 교훈을 얻는 데는 시간과 전체적인 조망이 필요할 것이다. 발견되지 않은 사이버공격이 많을 수 있다. 르비우의 군사 시설에 대한 사이버공격은 상당히 진행된 이후에서야 발견됐고 러시아의 해킹코드는 상용 보안 소프트웨어의 검색을 대부분 회피했다. 우크라이나의 사이버보안 관계자는 사이버공격 탐지에도 실패의 여지는 항상 있다고 한다. 사용자의 패스워드가 유출된 경우, 아무런 해킹 조치 없이도 정상적인 로그인이 가능하다. 사이버공격의 증상은 눈에 띄지만 그 원인은 그렇지 않다. "누가 기침하거나 혈압이 낮게 나오면 그제야 코로나19 감염일 수도 있다고 생각하게 되죠. 악성코드도 비슷합니다. 네트워크에 침투했을 때 이를 탐지하는 일은 드물어요. 뭔가 이상 증상이 나타났을 때나 알게 되죠. 우리가 사이버공격을 포착하는 시점은 이미 일이 한창 진행됐을 때가 대부분입니다."
스턱스넷처럼 매우 파괴적인 사이버작전은 보통 미사일 같은 걸 사용할 수 없는 평시에 가장 효과적이라는 것도 중요한 포인트다. 전시에는 폭탄을 쓰는 게 더 손쉽고 저렴하다. 우크라이나와 러시아 양쪽 모두 전시에 가장 중요한 사이버활동은 실제로 무언가를 파괴하는 행위보다는 정보수집과 심리전 영역에 속한다.
상황에 정통한 한 전직 우크라이나 정치인은 우크라이나 사이버 전력의 최대 성과는 러시아에 대한 미국의 경제제재를 위반하는 유럽 기업에 대한 세부 정보 같은 기밀정보의 입수였다고 한다. "제가 말해서는 안 되는 다른 사항들도 있지만 정말 놀라운 업적이라는 것만큼은 말할 수 있습니다." 2차 세계대전 당시 연합군이 독일의 에니그마 암호체계를 해독하고 있었다는 사실은 1970년대가 돼서야 드러났다. 우크라이나의 사이버작전이 전쟁에 궁극적으로 어떤 기여를 했느냐는 꽤 오랫동안 드러나지 않을 수 있다.
- 원문: Lessons from Russia's cyber-war in Ukraine (The Economist)
- 번역: 김수빈, 편집: 김동규
━
국제시사·문예 버티컬 PADO는 통찰과 깊이가 담긴 롱리드(long read) 스토리와 문예 작품으로 우리 사회의 창조적 기풍을 자극하고, 독자 여러분이 급변하는 세상의 파도에 올라타도록 돕는 작은 선물이 되고자 합니다.━
[저작권자 @머니투데이, 무단전재 및 재배포 금지]