러시아 사이버戰, 우크라이나에서 힘 못 쓴 이유[PADO]

(바흐무트 AFP=뉴스1) 우동명 기자 = 25일(현지시간) 우크라이나 도네츠크 바흐무트에서 병사가 러시아 군을 향해 드론을 띄우고 있다. ⓒ AFP=뉴스1 Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포 금지.

모든 군대는 전장을 아군에게 유리하게 형성한다. 페르시아의 왕 다리우스 3세는 기원전 331년 알렉드로스 대왕과 일전을 벌이면서 그의 군대가 진군할 것으로 예상한 지역에 마름쇠를 뿌려놓았다. 연합군은 1944년 독일군 지휘부가 연합군이 노르망디가 아닌 파드칼레에 상륙할 계획이라고 속이기 위해 모형 비행기와 모형 상륙정을 사용했다. 2022년 2월 24일, 러시아도 그런 시도를 했다. 러시아 전차가 우크라이나 키이우를 향해 진격하기 한 시간도 안된 시점에, 러시아 해커들이 우크라이나군이 의존하는 위성통신 시스템을 먹통으로 만들었다.

우크라이나의 사이버보안 기관의 수장 빅토르 조라는 당시 러시아 사이버공격의 결과로 "전쟁 초기에 정말 심각한 통신 손실"을 입었다고 작년 3월 말했다. 서방의 전직 안보기관 관계자는 당시 공격이 "1~2년에 걸쳐 매우 진지한 준비와 노력"을 요했으리라고 평했다.

전장을 유리하게 형성하는 데 성공했다고 전쟁에서 꼭 이기는 건 아니다. 연합군의 경우는 승리했다. 노르망디 상륙작전은 성공적이었다. 다리우스 3세는 전쟁에서 패했고 왕위도 잃었다. 러시아도 키이우 함락에 실패했다. 러시아의 침략군은 키이우 전역(戰域)에서 패배했다. 러시아는 큰 노력을 들였음에도 불구하고 사이버전으로 우크라이나군을 혼란에 빠뜨리는 데 실패했다. 이는 흥미로운 일이다. 러시아의 우크라이나 침략은 아직도 새로운 영역인 사이버전의 시험대가 되고 있으며 양쪽 모두 사이버영역에 많은 노력을 기울이고 있다. 그렇지만 일각에서 예상했던 것처럼 전황에 결정적인 영향을 미치지는 못한 듯 보인다.

━

예상에 못 미쳤던 러시아의 사이버작전

━

러시아는 위성통신망 공격 외에도 침공 전에 우크라이나의 태세를 약화하기 위한 사이버공격을 여러 차례 실시했다. 작년 1월과 2월 23일에는 데이터를 삭제시키는 용도로 개발된 '와이퍼(wiper)' 프로그램 여러 종류가 우크라이나 시스템 수백여 개에서 발견됐다. 키이우에 진격한 부대가 패퇴한 후 작년 4월에는 '샌드웜(러시아의 군사정보기관 GRU가 운영하는 것으로 여겨진다)' 그룹의 해커들이 '인더스트로이어2(Industroyer2: '인더스트리'와 '디스트로이어'를 합친 이름 --편집자주)'라는 악성코드를 사용해 우크라이나의 전력망을 공격했다.

이런 식으로 민간 인프라를 노린 공격에 대한 소식은 숨기기가 어렵다. 하지만 군 장비에 대한 공격은 다르다. 우크라이나군은 전쟁 내내 철저한 작전 보안을 유지하며 군 네트워크가 침투당하거나 공격을 받은 적이 있는지(실제로 있었다)에 대해 아무런 실마리를 주지 않았다. 그러나 러시아군의 사이버공격의 구체적 성과는 놀라울 정도로 미미했다. "우리는 효과가 훨씬 클 것으로 예상했는데 그렇지 않았죠." 미 국방부의 사이버정책 부차관보 미에케 이어양의 11월 16일 발언이다. "러시아의 사이버전력은 재래식 전력과 마찬가지로 예상에 못 미치는 활약을 보였습니다."

러시아의 사이버공격이 실패한 가장 중요한 원인은 우크라이나의 효과적 방어였다. 영국 NCSC(국가사이버보안센터)의 린디 캐머런 센터장은 러시아의 공격이 "역사상 가장 치열하고 오래 지속된 사이버공격"이라고 말한다. 그러나 영국의 신호정보 전문기관 GCHQ(정부통신본부)의 제러미 플레밍 본부장은 작년 8월 이코노미스트에 기고한 글에서 우크라이나의 대응을 두고 "역사상 가장 효과적이었던 사이버방어"라고 평했다. 우크라이나는 오랫동안 러시아의 사이버작전의 시험대 역할을 했다. '인더스트로이어2'의 전신인 '인더스트로이어'는 2016년 우크라이나의 대규모 정전 사태를 초래했다. 이 사태로 우크라이나 정부는 러시아의 사이버작전에 대한 이해를 얻을 수 있었고 자국의 인프라를 강화할 시간을 벌 수 있었다.

덕분에 러시아가 우크라이나를 침공했을 때, 우크라이나의 사이버사령부는 이미 비상 대책을 갖춘 상태였다. 몇몇 요원은 키이우를 떠나 보다 안전한 곳으로 흩어졌다. 다른 요원들은 전선 인근의 통제소로 이동했다. 중요한 정부 업무는 러시아 미사일이 닿을 수 없는 유럽 다른 나라의 데이터센터로 이관됐다. 위성통신망에 장해가 생길 수 있음을 인지하고 있던 우크라이나군은 대체 통신수단을 미리 확보하고 있었다. 작년 9월 우크라이나 사이버보안 기관의 수장 빅토르 조라는 러시아의 위성통신망 공격이 결과적으로 "우크라이나의 군 통신 및 작전 능력에 아무런 전술적 영향을 미치지 못했다"고 말했다.

(도네츠크 AFP=뉴스1) 우동명 기자 = 23일(현지시간) 우크라이나 도네츠크의 전선 참호에서 러시아 군과 대치하고 있는 병사가 순찰을 하고 있다. ⓒ AFP=뉴스1 Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포 금지.

━

현실과 사이버공간의 차이

━

그래서 몇몇 서방 정보기관 관계자는 우크라이나 전쟁이 군사 장비에 대한 고급 사이버작전 능력에 대한 미국과 러시아의 현격한 수준 차이를 보여준다고 말한다. 그러나 속단하기엔 이르다는 지적도 있다. 러시아의 재래식 전력이 그랬듯, 사이버전력도 능력 부족보다는 과도한 자신감 때문에 제 역할을 못했을 수 있기 때문이다.

서방 관계자들은 러시아가 우크라이나의 전력, 에너지, 운송 인프라에 강력한 사이버공격을 하지 못한 까닭이 그럴 능력이 없어서가 아니라 자군이 곧 우크라이나를 점령하고 그 인프라를 활용할 것이라고 여겨서였다고 한다. 곧 필요로 하게 될 걸 무엇 하러 파괴하겠는가? 전쟁을 예상과 달리 질질 끌게 되자 러시아의 사이버전력도 상황에 적응해야 했다. 그러나 사이버무기는 물리적 무기와는 다르다. 금방 방향을 바꿔 다른 목표물을 조준할 수도 없고 탄약을 보급받으면 바로 재공격이 가능하지도 않다. 사이버무기는 목표물에 맞춰 만들어지기 때문이다.

위성통신망에 대한 공격과 같은 복잡한 공격은 공격 대상 네트워크에 대해 각고의 노력을 기울여 정찰하는 등 엄청난 준비작업이 필요하다. 2021년 출간한 논문에서 취리히연방공대의 레나르트 마슈마이어는 2015년 GRU의 우크라이나 전력망 공격이 계획에 19개월이 걸렸지만 2016년 공격에는 2년 반이 걸렸다고 설명했다. 이런 공격을 실시하면 적에게 자신이 사용하는 도구(코드)와 인프라(서버)를 노출하게 되는데 결국 사용할 때마다 그 효과가 줄어들게 된다.

사람들이 사이버전의 위력을 오해하고 있다는 견해도 있다. NCSC 센터장을 역임한 시아랑 마틴은 사이버작전이 치열하고 중요한 것은 사실이나 이번 우크라이나 전쟁이 전시상황에서는 사이버 부문의 위력이 크게 제한됨을 보여줬다고 말한다. 스턱스넷은 '에어갭(사이버공격을 피하기 위해 물리적으로 인터넷과 단절시키는 보안 기법)' 상태였던 이란의 핵시설을 감염시킨 후 핵시설의 장비를 물리적으로 망가뜨렸고, 그럼에도 수개월간 발각되지 않았다. 스턱스넷의 성공으로 말미암아 사이버공격을 포탄이나 미사일을 대신할 수 있는 마법의 무기처럼 여기는 왜곡된 시각이 자라났다는 것이다. 마틴은 스턱스넷 사례는 사이버전의 세계에서 달 착륙 같은 것이라고 주장한다. 다시 말해 초강대국의 자원을 투입해야만 겨우 한번 성공할까 하는 일이지 사이버전에서 상시로 사용할 수 있는 게 아니라는 것.

또한 마틴은 사이버 부문이 "아무런 흔적도 남기지 않고 행동할 수 있는 무슨 마법의 투명 전장"도 아니라고 한다. 제대로 방어를 구축한 컴퓨터 네트워크에 심각한 피해를 입히는 것은 어려울뿐더러 이런 공격의 배후에 누가 있는지를 입증하는 건 (일반적으로 생각하는 것과 달리) 쉬운 편이라 한다. 아무런 책임도 안 지고 사이버공격을 할 수는 없다는 것. "사이버전에 대해 온갖 과장이 난무하지만 우크라이나 침공 이후에 푸틴은 사이버공간에서 서방에게 심각한 피해를 거의 끼치지 못했습니다." 마틴의 지적이다.

이런 논쟁에 마침표를 찍고 교훈을 얻는 데는 시간과 전체적인 조망이 필요할 것이다. 발견되지 않은 사이버공격이 많을 수 있다. 르비우의 군사 시설에 대한 사이버공격은 상당히 진행된 이후에서야 발견됐고 러시아의 해킹코드는 상용 보안 소프트웨어의 검색을 대부분 회피했다. 우크라이나의 사이버보안 관계자는 사이버공격 탐지에도 실패의 여지는 항상 있다고 한다. 사용자의 패스워드가 유출된 경우, 아무런 해킹 조치 없이도 정상적인 로그인이 가능하다. 사이버공격의 증상은 눈에 띄지만 그 원인은 그렇지 않다. "누가 기침하거나 혈압이 낮게 나오면 그제야 코로나19 감염일 수도 있다고 생각하게 되죠. 악성코드도 비슷합니다. 네트워크에 침투했을 때 이를 탐지하는 일은 드물어요. 뭔가 이상 증상이 나타났을 때나 알게 되죠. 우리가 사이버공격을 포착하는 시점은 이미 일이 한창 진행됐을 때가 대부분입니다."

스턱스넷처럼 매우 파괴적인 사이버작전은 보통 미사일 같은 걸 사용할 수 없는 평시에 가장 효과적이라는 것도 중요한 포인트다. 전시에는 폭탄을 쓰는 게 더 손쉽고 저렴하다. 우크라이나와 러시아 양쪽 모두 전시에 가장 중요한 사이버활동은 실제로 무언가를 파괴하는 행위보다는 정보수집과 심리전 영역에 속한다.

상황에 정통한 한 전직 우크라이나 정치인은 우크라이나 사이버 전력의 최대 성과는 러시아에 대한 미국의 경제제재를 위반하는 유럽 기업에 대한 세부 정보 같은 기밀정보의 입수였다고 한다. "제가 말해서는 안 되는 다른 사항들도 있지만 정말 놀라운 업적이라는 것만큼은 말할 수 있습니다." 2차 세계대전 당시 연합군이 독일의 에니그마 암호체계를 해독하고 있었다는 사실은 1970년대가 돼서야 드러났다. 우크라이나의 사이버작전이 전쟁에 궁극적으로 어떤 기여를 했느냐는 꽤 오랫동안 드러나지 않을 수 있다.

━

이 글은 국제시사·문예 버티컬 PADO의 '우크라이나, 러시아 사이버戰의 허와 실'을 요약한 것입니다. PADO는 통찰과 깊이가 담긴 롱리드(long read) 스토리와 문예 작품으로 우리 사회의 창조적 기풍을 자극하고, 독자 여러분이 급변하는 세상의 파도에 올라타도록 돕는 작은 선물이 되고자 합니다.

━