우크라이나 방어: 사이버 전쟁으로부터 일찍이 얻은 교훈

러시아는 당연하게도 조기 크루즈 미사일 공격으로 우크라이나 정부 데이터 센터를 겨냥했으며, 다른 온프레미스 서버도 마찬가지로 재래식 무기의 공격에 취약했습니다. 러시아는 또한 온프레미스 컴퓨터 네트워크에 파괴적인 ‘와이퍼’ 공격을 감행했습니다. 그러나 우크라이나 정부는 디지털 인프라를 유럽 곳곳의 데이터 센터에 호스팅된 퍼블릭 클라우드로 빠르게 이전함으로써 민간 및 군사 운영을 성공적으로 유지했습니다.

여기에는 Microsoft를 비롯한 IT 부문 전반의 긴박하고 특별한 개입이 있었습니다. IT 부문의 작업이 중요했지만, 이러한 활동에서 얻을 수 있는 좀 더 장기적인 교훈에 대해 생각해 보는 것이 중요합니다.

사이버 활동은 육안으로 볼 수 없기 때문에 기자나 심지어 군사 분석가들조차 추적하기가 더 어렵습니다. Microsoft는 러시아군이 48개의 우크라이나 기관 및 엔터프라이즈에 파괴적인 사이버 공격을 수 차례 감행했다는 것을 확인했습니다. 이러한 공격은 초기에 수백 대의 컴퓨터를 손상시킨 다음 다른 수천 대 컴퓨터의 소프트웨어와 데이터를 파괴하도록 설계된 맬웨어를 퍼뜨림으로써 네트워크 도메인에 침투하기 위한 것이었습니다.

전쟁에서 러시아의 사이버 전술은 2017년 NotPetya가 우크라이나를 대상으로 한 공격에서 사용했던 전술과 달랐습니다. 당시 공격은 컴퓨터 도메인 간 이동이 가능하여 국경 너머 다른 국가로까지 전파 가능한 파괴적인 ‘워머블’ 맬웨어를 활용했습니다. 러시아는 2022년에 파괴적인 ‘와이퍼 소프트웨어’를 우크라이나의 특정 네트워크 도메인에 조심스럽게 심었습니다. 그러나 최근 진행 중인 파괴적 공격 자체는 많은 보고서에서 다뤄진 것보다 훨씬 정교하고 널리 퍼져 있습니다. 러시아군은 사이버 공격과 재래식 무기를 함께 사용하는 등 변화하는 전쟁의 요구 사항에 따라 이처럼 파괴적인 공격을 계속 조정하고 있습니다.

지금까지 이러한 파괴적 공격의 결정적인 측면은 사이버 방어의 강력함과 상대적인 성공이었습니다. 비록 완벽하지 않아서 일부 파괴적 공격이 성공하긴 했지만, 그럼에도 이러한 사이버 방어는 사이버 공격 역량보다 강력한 것으로 입증됐습니다. 이는 두 가지의 중요한 최신 추세를 반영합니다. 첫째, 인공 지능 활용 등 위협 인텔리전스의 발전으로 인해 이러한 공격을 보다 효과적으로 탐지할 수 있게 됐습니다. 둘째, 인터넷에 연결된 엔드포인트 보호 덕분에 보호 소프트웨어 코드를 클라우드 서비스 및 기타 연결된 컴퓨팅 디바이스로 빠르게 배포하여 이 맬웨어를 식별 및 비활성화할 수 있게 됐습니다. 현재 우크라이나 정부와 함께 진행 중인 전시 혁신과 조치는 이러한 보호를 한층 강화했습니다. 그러나 이러한 방어 우위를 유지하려면 지속적인 경계와 혁신이 필요합니다.

Microsoft는 우크라이나 외부 42개국 128개 조직에서 러시아의 네트워크 침투 활동을 탐지했습니다. 러시아의 최우선 대상은 미국이지만, 군사적 물류 활동과 인도적 지원이 이뤄지고 있는 폴란드 또한 이러한 활동의 주요 대상입니다. 러시아의 활동은 발트해 국가들도 겨냥했으며, 지난 2개월 동안 덴마크, 노르웨이, 핀란드, 스웨덴, 터키의 컴퓨터 네트워크를 대상으로 유사한 활동이 증가했습니다. 다른 NATO 국가의 외교부를 대상으로 하는 유사 활동도 증가하는 것이 확인됐습니다.

러시아는 특히 NATO 회원국의 정부를 우선적으로 노렸습니다. 그러나 러시아의 공격 대상 목록에는 싱크 탱크, 구호 기관, IT 회사, 에너지 및 기타 주요 인프라 공급업체도 포함됩니다. 전쟁이 시작된 이래로 Microsoft에서 식별한 러시아의 공격은 29% 성공했습니다. 성공적 침투의 25%는 조직 데이터 반출로 이어진 것이 확인됐으나, 보고서에서 설명했듯이 이는 러시아의 성공 정도를 적게 반영한 것일 가능성이 높습니다.

클라우드가 아닌 온프레미스로 실행되는 정부 컴퓨터가 가장 우려됩니다. 이는 글로벌 사이버 첩보 공격 및 방어적 사이버 보호의 현황을 반영합니다. 18개월 전 SolarWinds 사태에서 알 수 있듯이, 러시아 정보 기관은 코드를 심고 지능형 지속 위협(APT)으로서 운영하며 네트워크로부터 지속적으로 정보를 획득 및 반출하는 대단히 정교한 역량을 보유하고 있습니다. 그 이후 보호 역량이 크게 발전했지만, 유럽 정부들 사이에서 이러한 발전은 미국에 비해 좀 더 불균형한 상태입니다. 그 결과 심각한 집단 방어의 취약점이 남아 있습니다.

이는 KGB가 수십년 동안 개발한 전술을 새로운 디지털 기술 및 인터넷과 결합하여 외부 영향력 작전의 지리적 도달 범위, 규모, 목표 정밀성, 속도와 민첩성을 개선하고 있습니다. 안타깝게도 이러한 사이버 영향력 작전은 충분한 계획과 정교화에 힘입어 민주주의 사회의 오랜 개방성과 현 시대의 특징인 대중의 양극화를 이용하기에 적절한 입지를 확보했습니다.

우크라이나 전쟁이 진행되는 가운데 러시아 기관들은 네 가지 대상 그룹에 중점을 두고 사이버 영향력 작전을 수행하고 있습니다. 러시아 국민을 대상으로 전쟁을 지지하게 만들기 위한 작전을 수행합니다. 우크라이나 국민을 대상으로 러시아의 공격에 맞설 국가의 의지와 능력에 대한 자신감을 꺾기 위한 작전을 수행합니다. 미국과 유럽 국민을 대상으로 서구의 단결을 저해하고 러시아군의 전쟁 범위에 대한 비판을 모면하기 위한 작전을 수행합니다. 전쟁과 무관한 국가의 국민을 대상으로도 작전을 수행하기 시작했는데, 이는 UN 및 기타 위치에서 지지를 유지하기 위한 것으로 여겨집니다.

러시아 사이버 영향력 작전은 다른 사이버 활동을 기반으로 하며 이러한 활동을 위해 개발된 전술과 연계됩니다. APT 팀이 러시아 정보 기관에 협력하듯이, 고급 지속 조작자(APM) 팀은 러시아 정부 기관과 연계하여 소셜 미디어 및 디지털 플랫폼에서 활동합니다. 이들은 맬웨어 및 다른 소프트웨어 코드를 퍼뜨리듯이 거짓 서사를 퍼뜨립니다. 그런 다음 정부가 관리하고 영향력을 미치는 웹 사이트를 통해 이러한 서사를 보다 광범위하고 일사불란하게 ‘보도’하며 소셜 미디어 서비스를 악용하기 위해 고안된 기술 도구를 활용하여 서사를 강화합니다. 최근의 사례로는 우크라이나의 생물무기와 관련된 서사, 우크라이나 민간인에 대한 러시아군의 공격을 무마하려는 활동 등이 있습니다.

Microsoft는 새 이니셔티브의 일환으로 AI, 새 분석 도구, 폭넓은 데이터 세트, 전문가 직원 확대 등을 통해 이러한 사이버 위협을 추적 및 예측합니다. 이러한 새로운 역량을 활용하여 Microsoft는 러시아 사이버 영향력 작전이 전쟁 개시 후 러시아 프로파간다를 우크라이나에서 216%, 미국에서 82% 확산시키는 데 성공한 것으로 추산합니다.

현재 진행 중인 러시아의 작전은 최근 여러 서구 국가에서 코로나19 거짓 서사를 퍼뜨리기 위해 수행했던 정교한 활동을 기반으로 합니다. 여기에는 영어로 된 인터넷 보고서를 통해 백신 채택을 저해하는 동시에 러시아어로 된 사이트에서는 백신 사용을 장려했던 2021년의 국가 후원 사이버 영향력 작전이 포함됩니다. 지난 6개월 동안 러시아는 유사한 사이버 영향력 작전으로 뉴질랜드와 캐나다에서 코로나19 정책에 대한 대중의 반대를 악화시키고자 했습니다.

Microsoft는 향후 몇 주, 몇 개월 동안 이 분야에서 작업을 확장할 것입니다. 지난주 발표한 Miburo Solutions 인수 계약을 통한 내적 성장 또한 그러한 노력의 일환입니다. Miburo Solutions는 해외 사이버 영향력 작전의 탐지 및 대응을 전문으로 하는 선도적 사이버 위협 분석 및 연구 업체입니다.

Microsoft는 현재 다수의 러시아 사이버 영향력 작전이 적절한 탐지, 분석, 공개적 보고 없이 수개월 동안 지속된다는 것을 우려하고 있습니다. 이는 공공 및 민간 부문 양쪽에서 중요한 기관에 광범위한 영향을 미칩니다. 우크라이나에서 전쟁이 오래 지속될수록 우크라이나의 입장에서 이러한 작전이 더욱 중요해질 것입니다. 전쟁을 오래 지속하려면 피로가 점점 커지면서 불가피하게 발생하는 난관을 극복하고 대중의 지지를 유지해야 하기 때문입니다. 이는 서구 국가들이 해외 사이버 영향력 공격에 맞서 시급히 방어를 강화해야 하는 이유입니다.

이러한 위협마다 차이는 있지만, 우크라이나 전쟁이 보여주듯이 러시아 정부는 이를 별도의 활동으로 추진하지 않고 있으며 우리는 이를 별도의 분석 사일로로 분리해서는 안 됩니다. 또한 방어 전략은 우크라이나의 사례에서 알 수 있듯이 반드시 이러한 사이버 작전과 물리적인 군사 작전의 연계를 고려해야 합니다.

이러한 사이버 위협을 막기 위한 새로운 발전이 필요하며, 이는 네 가지 주요 원칙과 최소 하나의 포괄적 공통 전략에 의존합니다. 첫째 방어 원칙은 러시아의 사이버 위협이 러시아 정부 안팎의 행위자들에 의해 추진되며 비슷한 디지털 전술에 의존한다는 사실을 인식하는 것입니다. 따라서 이에 맞서기 위한 디지털 기술, AI, 데이터 분야의 발전이 필요합니다. 이를 반영한 두 번째 원칙은 과거의 위협과 달리 사이버 대응은 반드시 공공 및 민간 부문의 광범위한 협력에 의존해야 한다는 것입니다. 세 번째 원칙은 개방된 민주주의 사회를 보호하기 위해 여러 정부의 긴밀한 다자간 협력이 필요하다는 사실을 받아들이는 것입니다. 그리고 마지막 네 번째 방어 원칙은 설령 사이버 영향력 작전을 포함한 온갖 사이버 위협을 해소하기 위해 새로운 단계가 필요하다고 하더라도 자유로운 표현을 옹호하고 검열을 피해야 한다는 민주주의 사회의 방침을 견지하는 것입니다.

효과적인 대응은 반드시 이러한 원칙과 네 가지 핵심 전략을 바탕으로 해야 합니다. 이는 해외 사이버 위협을 더 잘 (1) 탐지하고, (2) 방어하고, (3) 파훼하고, (4) 억지하기 위한 집단적 역량을 강화할 것입니다. 이 접근법은 이미 파괴적 사이버 공격과 사이버 기반 첩보를 해결하기 위한 여러 집단적 활동에 반영되어 있습니다. 또한 랜섬웨어 공격을 해결하는 데 필요한 중요하면서 지속적인 활동에도 적용됩니다. 러시아 사이버 영향력 작전에 맞서기 위해서는 이제 새로운 역량과 방어를 갖춘 유사한 종합적 접근법이 필요합니다.

이 보고서에서 논의했듯이 우크라이나 전쟁은 단지 교훈을 주는 데 그치지 않고 민주주의의 미래를 보호하는 데 필수적인 효과적 조치를 촉구합니다. 회사로서 Microsoft는 정부, 회사, NGO, 대학을 지원할 기술, 데이터, 파트너십에 대한 기존 및 신규 투자를 통해 이러한 활동을 지원하기 위해 최선을 다하고 있습니다.

자세한 정보는 보고서 전문을 확인하세요.