2019.05.30

2016년 미국 플로리다 주 선거 해킹에 대해 지금까지 알려진 사실들

Cynthia Brumfield | CSO
뮐러 보고서에 따르면, 러시아 공격자들은 최소 한 개이상의 플로리다 카운티 시스템에 악성코드를 설치했으며, 플로리다 주지사는 2016년 2개의 카운티가 해킹됐다고 발표했다. 전문가들은 이 문제가 더 클 수 있다고 생각한다. 

          
2019년 4월 초, 로버트 뮐러 특별검사가 2016년 미국 대통령 선거에 대한 러시아 개입에 대한 조사 보고서를 발표한 이후, 혼란과 논란의 폭풍이 선거 기간 동안 플로리다에서 일어난 일을 덮쳤다. 

뮐러 보고서는 러시아 군사 정보국(GRU)의 74455 부대가 선거 관리 및 투표 기술 관련 인력에게 스피어 피싱 이메일을 보낸 방법에 대해 설명했다. 

뮐러 보고서에 따르면, GRU는 선거인 명부를 관리하는 소프트웨어를 개발한 선거 IT 업체의 직원들을 표적으로 삼아 회사 네트워크에 악성코드를 설치했다. 2016년 8월 수많은 미국 카운티가 이 소프트웨어를 사용했다. 이 공급업체의 이름은 이 보고서에서 삭제됐다. 

뮐러 보고서는 FBI 조사 결과 2016년 11월 GRU는 2016년 미국 선거 관리를 책임지는 플로리다 카운티 공무원이 사용한 120개의 이메일 계정에 스피어피싱 이메일을 보냈고, 해당 이메일의 워드문서에 포함된 악성코드에 의해 GRU는 최소한 한 개 이상의 플로리다 카운티 정부에 액세스 권한을 획득할 수 있었다고 전했다. 

  
러시아 피싱 캠페인, VR시스템을 목표로 삼았나 

미국 플로리다 카운티가 해킹 당했다는 것은 새로운 정보였지만, 뮐러 보고서에 언급된 스피어피싱에 대한 얘기는 이 보고서가 발표되기 전에도 알려진 적이 있었다. 

2017년 초, 군 계약자였던 리얼리티 위너는 탐사보도 전문매체인 인터셉터에게 NSA가 러시아 군 정보 기관이 스푸핑된 이메일(구글에서 보낸 것처럼)을 이름을 밝히지 않은 미국 선거 소프트웨어 업체에게 보냈다는 사실을 발견한 증거를 제공했다. 

그러나 인터셉터에 따르면, NSA 보고서에는 플로리다에 소재한 이 전자투표 시스템 공급업체인 VR시스템에서 만든 제품에 대한 언급이 포함되어 있었다. 이 사건에 대한 NSA 측 보도에 따르면, 피싱 이메일의 잠재적인 피해자는 7명이지만, 이메일을 통해 회사에 성공적으로 해킹했으며, 데이터가 유출됐는지 여부는 알 수 없다고 전했다. 

인터셉트 보도에 따르면, NSA는 러시아 해커가 VR시스템 직원으로부터 온 것처럼 보이는 지메일 계정으로 만들어진 스피어피싱 이메일을 선거인 명부 관리자를 포함해 이름있는 지방 정부 직원 122개의 이메일 주소로 보냈다는 걸 발견했다. 

이 이메일은 EViD라고 알려진 VR 시스템의 전자 선거인 명부와 관련된 문서처럼 보였으나 실제로는 해커가 피해자를 모니터링하고 악성코드를 추가로 설치할 수 있도록 하는 마이크로소프트의 파워셸 스크립팅 소프트웨어를 사용하는 악성 프로그램이 포함되어 있었다. 선거인 명부는 선거 관리 공무원이 유권자 정보를 확인하기 위해 유권자 등록 정보를 검토하거나 관제할 수 있도록 하드웨어, 소프트웨어 두 가지 형태로 구성되어 있다. 
 
이와 비슷한 주장은 2016년 선거에서 컴퓨터 해킹 음모 혐의로 기소된 12명의 러시아인에 대한 특별검사의 2017년 7월 기소장에서 재등장했다. 이 기소장은 러시아가 개발업체 1로만 알려져있던 유권자 정보를 확인하는데 사용되는 소프트웨어 공급업체를 표적으로 했다고 밝혔다. 이 기소는 GRU가 공급업체 1로 보이게끔 설계된 이메일 계정을 사용해 플로리다 주 여러 카운티 선거 관리를 위한 조직과 직원에게 100개 이상의 스피어피싱 이메일을 보냈다는 내용이다.

 
침입 없음, 침해 없음, 그것이 사실인가 

VR시스템은 적어도 17개 노스캐롤라이나 카운티를 포함해 미국 8개 주에서 선거구 관할 구역에 투표 하드웨어와 소프트웨어를 제공한다. 노스 캐롤라이나 주 카운티 중 하나인 더럼(Durham) 카운티는 2016년 선거일에 VR시스템의 EViD 전자투표 소프트웨어에서 문제가 발생했다고 주장하면서 종이로 된 선거인 명부로 전환하기 위해 투표소 직원을 투입했으며, 이로 인해 투표 대기줄이 길어지는 등의 투표 지연 사태가 발생했다. 

뮐러 보고서가 발표된 후, 노스 캐롤라이나 주의 선거관리위원회는 VR시스템이 뮐러 보고서에 언급된 회사인지 여부와 VR 시스템의 이전 제품에 대한 보증이 유효한지, 그리고 향후 제품이 안전한지 여부를 알기를 원했다. 선거관리위원회는 18일 VR시스템에 제품 보안에 대해 즉각적이고 서면 보증을 요청하는 서한을 보냈다.  

VR시스템이 자체 투표소 인증을 취소하려는 것을 막기 위해 주 선거관리위원회를 상대로 제기한 소에 따르면, EviD 시스템은 한번도 침해 당한 적이 없으며 침해 당했다면 공격의 흔적을 발견했을 것이라고 말했다. 또한 VR시스템은 러시아 스피어피싱 캠페인에 대해 조사했지만 직원 중 누구도 해당 악의적인 이메일을 열지 않았기 때문에 침해가 발생하지 않았다고 밝혔다. 

VR시스템은 4월 22일 주 선거관리위원회의 서한에서 2017년 7월 러시아 기소장에서 인용된 '공급업체 1' 인지 또는 뮐러 보고서에 언급된 공급업체인지 여부를 확인하거나 부정할 수 없다고 말했다. 이 업체는 미국 국토안보부(DHS), FBI, NSA 등 어떤 기관에서도 특정 해킹 사건에 대해 연락받지 못했다고 말했다. 

이 서한에서 VR시스템은 DHS와 서드파티 사이버보안 업체와 협력한 사실을 강조하면서 자체 보안을 옹호했다. 이 업체는 자체 시스템에서 어떤 종류의 악성코드나 악성코드가 설치됐다는 징후를 발견하지 못했다고 주장했다. VR 시스템은 서드파티 전문가에게 해당 컴퓨터를 검사할 것을 제안했지만 주 선거위원회는 이 제안을 거부했다. 

NPR이 보도한 바와 같이, VR시스템은 4월 18일 발표한 성명서에서 "DHS와 함께 사이버보안 전문가들이 2016년 이래로 자사의 네트워크를 여러 번 테스트했기 때문에 특별검사 보고서에 동의하지 않으며 회사 네트워크에 악성코드가 설치되거나 침해한 어떤 증거도 발견하지 못했다"고 밝혔다.

지난 2019년 5월 8일 강력한 선거 보안을 지지해 온 론 위든 미 상원의원은 VR시스템 CEO 민디 퍼킨에게 서한을 보내어 선거 공급업체의 악성코드 감염을 주장하는 뮐러 보고서와 노스 캐롤라이나 주 선거인 명부 시스템의 고장이 보안 침해가 아니라고 부인한 것에 대해 물었다. 
  
위든은 VR 시스템에게 주장하는 바를 뒷받침하는 보고서나 평가를 제공할 것을 요청했다. 또한 위드는 VR 시스템에 2016년 8월 CISO 또는 이와 유사한 기술자를 채용했는 지와 2016년 8월 이후 NIST 사이버보안 프레임워크를 구현했는지 여부를 물었다. 

퍼킨에게 보낸 위든의 서한에 따르면, VR시스템 COO 벤 마틴은 2017년 인터셉트가 리얼리티 위너의 폭로를 보도한 후, 보안 업체인 파이어아이와 계약해 자체 시스템과 네트워크에 대한 포렌식 검사를 실시했다고 폴리티코(Politico)에 전했다. 마틴은 파이어아이 분석을 기반으로 EViD 서버나 네트워크에 침입 당한 적이 없다고 말했다. 


VR 시스템이 아니라면, 어느 업체일까 

5월 14일 미 공화당 플로리다 주지사 론 데산티는 기자 회견을 열어 FBI 브리핑에서 2개의 플로리다 카운티가 뮐러 보고서에서 지적한 것과는 달리 2016년에 침해됐다는 사실을 알게됐다고 말하면서 혼란을 조장했다. 

데산티는 FBI와의 비공개 협약에 서명해 2개의 플로리다 카운티가 포함되어 있음을 공식적으로 밝히지 못하도록 했지만, 카운티들은 스스로 인지하고 있었다는 점을 들어 논쟁에 불을 붙였다.  

데산티는 "카운티 이름을 말한다면 공격자들에게 정보를 제공하는 꼴이 될 수 있다고 생각한다"고 말했다. 이틀 후, 플로리다 주 의회 대표단은 FBI에게 브리핑을 받았고 포함된 2개의 카운티가 어디인지 공개적으로 밝히지 않았다. 
 
언론 및 시민 단체의 집중적인 취재 끝에 드러난 것은 플로리다 내 아주 작은 팬핸들(Florida panhandle), 워싱턴 카운티(Washington County)와 좀 더 큰 플로리다 카운티인 섬터 카운티(Sumter County)였다. 템파베이 타임스는 이 문제의 2개 카운티에 질의를 보낸 결과를 "부인하지 않은 부인"이라 불렀다.    
 
두 곳의 선거 사무국장은 2016년 GRU에게 침입 당한 카운티임을 확인하거나 부인할 수 없다고 말했다. 그러나 템파베이 타임스 보도에 따르면, 섬터 카운티 선거관리위원회 위원장은 지난해 플로리다 주 신문사와의 인터뷰에서 자신의 관할이 GRU에게 해킹 당했음을 부인했다. 

만약 GRU가 VR 시스템에 악성코드를 심지 않았다는 VR시스템의 주장이 사실이라면 뮐러 보고서에 언급된 공급업체는 과연 어디이며, 러시아 해커는 최소한 플로리다 카운티 한 곳을 어떻게 액세스했는 지에 대한 많은 질문이 제기된다. 

후자의 질문에 대한 가장 쉬운 답변은 VR 시스템이 해킹됐는지 여부와 관계없이 VR시스템에서 온 것처럼 보이도록 스푸핑 된 악성코드 첨부파일이 포함된 피싱 이메일이 적어도 한 개의 플로리다 카운티에 직접 전송됐음을 추정할 수 있다. VR시스템은 자체적으로 이 시나리오가 가능성이 있다고 말한다. 

5월 14일 성명서에서 VR시스템은 론 데산티 주지사의 발언을 토대로 한 언론 질의를 받은 후 즉시, 자신들이 답변한 것을 FBI에게 확인, 요청했다. 
"VR시스템은 카운티의 선거 시스템 감독관에 대한 침입 소스가 아니었다. 이 정보를 바탕으로 우리는 우리 회사를 사칭하는 스피어피싱 이메일이 유력한 원인이라고 평가한다"고 말했다.  

이 시나리오는 인터셉트가 2018년 6월에 입수해 발표한 스푸핑된 VR 시스템 이메일과 일치한다. 또한 플로리다 주 67개 지역 가운데 적어도 13개와 20개 선거 사무소가 VR시스템에서 온 것으로 보이는 지메일 계정으로 된 GRU 피싱 이메일을 받았다고 인정한 선 센티널(Sun Sentinel) 보도와도 일치한다. 중요한 것은 GRU에 의해 침해 당한 것으로 추정되는 카운티 중 하나인 섬터 카운티는 GRU 피싱 이메일을 받은 것을 부인했다. 


숙련된 해커는 자신의 흔적을 숨긴다 

선거 관련 보안 전문가들은 플로리다 카운티가 GRU에서 직접 보낸 악성코드가 포함된 피싱 이메일을 통해 침입했던, 해킹당한 VR 시스템 네트워크를 통해 침입했던, 그것과는 상관없이 VR시스템이 해킹 당한 것은 아니라고 주장한다. 

컴퓨터 보안업체인 렌디션 인포섹(Rendition Infosec) 설립자이자 전 NSA TAO(Tailored Access Operations) 해킹 팀 일원이었던 제이크 윌리엄은 VR시스템이 해당 시스템이 해킹 당했음을 부정할 수 없다고 생각한다. 윌리엄은 본지와의 인터뷰에서 "그들의 데이터의 일부가 해킹 당했음은 의심의 여지가 없다"고 말했다. 

노르딕 이노베이션 랩(Nordic Innovation Lab) 창립 파트너이자 선거 보안 전문가인 해리 허스티는 "뮐러 보고서가 말한 것과 VR시스템이 주장하는 것 간에는 명백한 모순이 발생하는데, 이는 VR 시스템이 실제로 일어난 일에 제대로 이해할만한 숙련된 기술이 없고 충분한 네트워크 모니터링이 부족하고, 존재하지 않은 포렌식 등으로 인해 진실을 제대로 알 수 없다. 이 시스템이 어떻게 구축되는지 알고, 어떻게 정보가 보존되어 있지 않은지 아는 것이 중요하다. 많은 시스템이 포렌식 정보를 기록하지 않는다. 근본적으로 보안 기술이 부족하다는 생각이 든다"고 말했다. 
 
또한 일부 선거업체는 마케팅 자료에 언급된 내용임에도 불구하고 공격에 취약한 것으로 보인다. 이는 전혀 탄탄한 시스템이 아니다고 말했다. 
 
VR시스템이 자체 네트워크에 악성 프로그램이 없다는 파이어아이의 평가에 내세우더라도 이것이 GRU가 2016년에 시스템에 악성코드를 삽입하지 않았다는 증거는 아니다. 파이어아이 또는 다른 평판 좋은 보안업체가 2016년 VR시스템의 시스템을 모니터링하고 있었는지 여부가 확실하지 않기 때문이다. 허스티는 "그들에게 2016년 이전에 독립적인 보안 평가를 받은 적이 있는지 묻는 이는 아무도 없다"고 말했다.

GRU 사후에 침해의 증거를 찾는 것은 GRU와 같은 조직이 최고 수준의 스텔스 공격을 전개하고 흔적을 지우거나 바꿀 수 있는 최첨단 조치를 취하는 능력을 감안할 때 불가능한 일일 가능성이 높다. 

허스티는 "오리와 같은 소리를 듣고 오리처럼 걷는 무언가가 오리가 아닐 수 있다"고 말했다. 허스티는 최근 마이크로소프트 메신저 웜이 투표 서버에서 발견된 사례를 제시했다. "이것은 신속하게 제거됐고 시스템은 즉시 복구됐다. 공격자는 이 서버를 재부팅하게 만들었을 수도 있다. 오리일지도 모르지만 오리는 숨어있다. 공격자의 정교함을 생각해야 한다"고 말했다. 


다른 투표 시스템 공급업체의 해킹 여부 

마지막으로 뮐러 보고서에 언급된 공급업체가 VR시스템이 아닐 수도 있다. 일부 선거 보안 및 정보 전문가들은 뮐러 보고서에 단 하나의 공급업체만 언급됐다고 하더라도 여러 공급업체가 침해 당했을 가능성을 생각해봐야 한다고 주장했다. 
렌디션 인포섹의 윌리엄은 "해킹 당한 다른 공급업체가 있다고 해도 놀랄 일이 아니다. 이럴 우려가 있다는 것에는 의심의 여지가 없다"고 말했다. 

뉴욕타임스는 2017년 9월 현재 첩보 당국은 러시아의 해커들이 2016년 투표에 앞서 VR시스템이 아닌 다른, 최소한 두 곳의 선거 서비스 제공업체를 침해했다고 말했다. 허스티는 "2개로 멈추지 않을 것이라고 생각한다"고 말했다.  

보안 전문가들은 본지와의 인터뷰에서 VR시스템이 아니며 러시아의 표적이 됐을 가능성이 있는 공급업체로 여러 플로리다 카운티에게 선거 서비스를 제공하는 한 공급업체를 지목했다. 

이 공급업체는 2016년 GRU가 목표로 삼았거나 해킹 당했다는 것을 일체 부인하고 있다. 이 업체 CEO는 "우리는 어떤 종류의 침해에 대해서도 통보받은 바 없으며, 우리는 이 문제의 일부가 아니다. 침해와 관련된 사항들을 우리에게 왜 이야기하는 지 모르겠다"고 말했다. editor@itworld.co.kr  


2019.05.30

2016년 미국 플로리다 주 선거 해킹에 대해 지금까지 알려진 사실들

Cynthia Brumfield | CSO
뮐러 보고서에 따르면, 러시아 공격자들은 최소 한 개이상의 플로리다 카운티 시스템에 악성코드를 설치했으며, 플로리다 주지사는 2016년 2개의 카운티가 해킹됐다고 발표했다. 전문가들은 이 문제가 더 클 수 있다고 생각한다. 

          
2019년 4월 초, 로버트 뮐러 특별검사가 2016년 미국 대통령 선거에 대한 러시아 개입에 대한 조사 보고서를 발표한 이후, 혼란과 논란의 폭풍이 선거 기간 동안 플로리다에서 일어난 일을 덮쳤다. 

뮐러 보고서는 러시아 군사 정보국(GRU)의 74455 부대가 선거 관리 및 투표 기술 관련 인력에게 스피어 피싱 이메일을 보낸 방법에 대해 설명했다. 

뮐러 보고서에 따르면, GRU는 선거인 명부를 관리하는 소프트웨어를 개발한 선거 IT 업체의 직원들을 표적으로 삼아 회사 네트워크에 악성코드를 설치했다. 2016년 8월 수많은 미국 카운티가 이 소프트웨어를 사용했다. 이 공급업체의 이름은 이 보고서에서 삭제됐다. 

뮐러 보고서는 FBI 조사 결과 2016년 11월 GRU는 2016년 미국 선거 관리를 책임지는 플로리다 카운티 공무원이 사용한 120개의 이메일 계정에 스피어피싱 이메일을 보냈고, 해당 이메일의 워드문서에 포함된 악성코드에 의해 GRU는 최소한 한 개 이상의 플로리다 카운티 정부에 액세스 권한을 획득할 수 있었다고 전했다. 

  
러시아 피싱 캠페인, VR시스템을 목표로 삼았나 

미국 플로리다 카운티가 해킹 당했다는 것은 새로운 정보였지만, 뮐러 보고서에 언급된 스피어피싱에 대한 얘기는 이 보고서가 발표되기 전에도 알려진 적이 있었다. 

2017년 초, 군 계약자였던 리얼리티 위너는 탐사보도 전문매체인 인터셉터에게 NSA가 러시아 군 정보 기관이 스푸핑된 이메일(구글에서 보낸 것처럼)을 이름을 밝히지 않은 미국 선거 소프트웨어 업체에게 보냈다는 사실을 발견한 증거를 제공했다. 

그러나 인터셉터에 따르면, NSA 보고서에는 플로리다에 소재한 이 전자투표 시스템 공급업체인 VR시스템에서 만든 제품에 대한 언급이 포함되어 있었다. 이 사건에 대한 NSA 측 보도에 따르면, 피싱 이메일의 잠재적인 피해자는 7명이지만, 이메일을 통해 회사에 성공적으로 해킹했으며, 데이터가 유출됐는지 여부는 알 수 없다고 전했다. 

인터셉트 보도에 따르면, NSA는 러시아 해커가 VR시스템 직원으로부터 온 것처럼 보이는 지메일 계정으로 만들어진 스피어피싱 이메일을 선거인 명부 관리자를 포함해 이름있는 지방 정부 직원 122개의 이메일 주소로 보냈다는 걸 발견했다. 

이 이메일은 EViD라고 알려진 VR 시스템의 전자 선거인 명부와 관련된 문서처럼 보였으나 실제로는 해커가 피해자를 모니터링하고 악성코드를 추가로 설치할 수 있도록 하는 마이크로소프트의 파워셸 스크립팅 소프트웨어를 사용하는 악성 프로그램이 포함되어 있었다. 선거인 명부는 선거 관리 공무원이 유권자 정보를 확인하기 위해 유권자 등록 정보를 검토하거나 관제할 수 있도록 하드웨어, 소프트웨어 두 가지 형태로 구성되어 있다. 
 
이와 비슷한 주장은 2016년 선거에서 컴퓨터 해킹 음모 혐의로 기소된 12명의 러시아인에 대한 특별검사의 2017년 7월 기소장에서 재등장했다. 이 기소장은 러시아가 개발업체 1로만 알려져있던 유권자 정보를 확인하는데 사용되는 소프트웨어 공급업체를 표적으로 했다고 밝혔다. 이 기소는 GRU가 공급업체 1로 보이게끔 설계된 이메일 계정을 사용해 플로리다 주 여러 카운티 선거 관리를 위한 조직과 직원에게 100개 이상의 스피어피싱 이메일을 보냈다는 내용이다.

 
침입 없음, 침해 없음, 그것이 사실인가 

VR시스템은 적어도 17개 노스캐롤라이나 카운티를 포함해 미국 8개 주에서 선거구 관할 구역에 투표 하드웨어와 소프트웨어를 제공한다. 노스 캐롤라이나 주 카운티 중 하나인 더럼(Durham) 카운티는 2016년 선거일에 VR시스템의 EViD 전자투표 소프트웨어에서 문제가 발생했다고 주장하면서 종이로 된 선거인 명부로 전환하기 위해 투표소 직원을 투입했으며, 이로 인해 투표 대기줄이 길어지는 등의 투표 지연 사태가 발생했다. 

뮐러 보고서가 발표된 후, 노스 캐롤라이나 주의 선거관리위원회는 VR시스템이 뮐러 보고서에 언급된 회사인지 여부와 VR 시스템의 이전 제품에 대한 보증이 유효한지, 그리고 향후 제품이 안전한지 여부를 알기를 원했다. 선거관리위원회는 18일 VR시스템에 제품 보안에 대해 즉각적이고 서면 보증을 요청하는 서한을 보냈다.  

VR시스템이 자체 투표소 인증을 취소하려는 것을 막기 위해 주 선거관리위원회를 상대로 제기한 소에 따르면, EviD 시스템은 한번도 침해 당한 적이 없으며 침해 당했다면 공격의 흔적을 발견했을 것이라고 말했다. 또한 VR시스템은 러시아 스피어피싱 캠페인에 대해 조사했지만 직원 중 누구도 해당 악의적인 이메일을 열지 않았기 때문에 침해가 발생하지 않았다고 밝혔다. 

VR시스템은 4월 22일 주 선거관리위원회의 서한에서 2017년 7월 러시아 기소장에서 인용된 '공급업체 1' 인지 또는 뮐러 보고서에 언급된 공급업체인지 여부를 확인하거나 부정할 수 없다고 말했다. 이 업체는 미국 국토안보부(DHS), FBI, NSA 등 어떤 기관에서도 특정 해킹 사건에 대해 연락받지 못했다고 말했다. 

이 서한에서 VR시스템은 DHS와 서드파티 사이버보안 업체와 협력한 사실을 강조하면서 자체 보안을 옹호했다. 이 업체는 자체 시스템에서 어떤 종류의 악성코드나 악성코드가 설치됐다는 징후를 발견하지 못했다고 주장했다. VR 시스템은 서드파티 전문가에게 해당 컴퓨터를 검사할 것을 제안했지만 주 선거위원회는 이 제안을 거부했다. 

NPR이 보도한 바와 같이, VR시스템은 4월 18일 발표한 성명서에서 "DHS와 함께 사이버보안 전문가들이 2016년 이래로 자사의 네트워크를 여러 번 테스트했기 때문에 특별검사 보고서에 동의하지 않으며 회사 네트워크에 악성코드가 설치되거나 침해한 어떤 증거도 발견하지 못했다"고 밝혔다.

지난 2019년 5월 8일 강력한 선거 보안을 지지해 온 론 위든 미 상원의원은 VR시스템 CEO 민디 퍼킨에게 서한을 보내어 선거 공급업체의 악성코드 감염을 주장하는 뮐러 보고서와 노스 캐롤라이나 주 선거인 명부 시스템의 고장이 보안 침해가 아니라고 부인한 것에 대해 물었다. 
  
위든은 VR 시스템에게 주장하는 바를 뒷받침하는 보고서나 평가를 제공할 것을 요청했다. 또한 위드는 VR 시스템에 2016년 8월 CISO 또는 이와 유사한 기술자를 채용했는 지와 2016년 8월 이후 NIST 사이버보안 프레임워크를 구현했는지 여부를 물었다. 

퍼킨에게 보낸 위든의 서한에 따르면, VR시스템 COO 벤 마틴은 2017년 인터셉트가 리얼리티 위너의 폭로를 보도한 후, 보안 업체인 파이어아이와 계약해 자체 시스템과 네트워크에 대한 포렌식 검사를 실시했다고 폴리티코(Politico)에 전했다. 마틴은 파이어아이 분석을 기반으로 EViD 서버나 네트워크에 침입 당한 적이 없다고 말했다. 


VR 시스템이 아니라면, 어느 업체일까 

5월 14일 미 공화당 플로리다 주지사 론 데산티는 기자 회견을 열어 FBI 브리핑에서 2개의 플로리다 카운티가 뮐러 보고서에서 지적한 것과는 달리 2016년에 침해됐다는 사실을 알게됐다고 말하면서 혼란을 조장했다. 

데산티는 FBI와의 비공개 협약에 서명해 2개의 플로리다 카운티가 포함되어 있음을 공식적으로 밝히지 못하도록 했지만, 카운티들은 스스로 인지하고 있었다는 점을 들어 논쟁에 불을 붙였다.  

데산티는 "카운티 이름을 말한다면 공격자들에게 정보를 제공하는 꼴이 될 수 있다고 생각한다"고 말했다. 이틀 후, 플로리다 주 의회 대표단은 FBI에게 브리핑을 받았고 포함된 2개의 카운티가 어디인지 공개적으로 밝히지 않았다. 
 
언론 및 시민 단체의 집중적인 취재 끝에 드러난 것은 플로리다 내 아주 작은 팬핸들(Florida panhandle), 워싱턴 카운티(Washington County)와 좀 더 큰 플로리다 카운티인 섬터 카운티(Sumter County)였다. 템파베이 타임스는 이 문제의 2개 카운티에 질의를 보낸 결과를 "부인하지 않은 부인"이라 불렀다.    
 
두 곳의 선거 사무국장은 2016년 GRU에게 침입 당한 카운티임을 확인하거나 부인할 수 없다고 말했다. 그러나 템파베이 타임스 보도에 따르면, 섬터 카운티 선거관리위원회 위원장은 지난해 플로리다 주 신문사와의 인터뷰에서 자신의 관할이 GRU에게 해킹 당했음을 부인했다. 

만약 GRU가 VR 시스템에 악성코드를 심지 않았다는 VR시스템의 주장이 사실이라면 뮐러 보고서에 언급된 공급업체는 과연 어디이며, 러시아 해커는 최소한 플로리다 카운티 한 곳을 어떻게 액세스했는 지에 대한 많은 질문이 제기된다. 

후자의 질문에 대한 가장 쉬운 답변은 VR 시스템이 해킹됐는지 여부와 관계없이 VR시스템에서 온 것처럼 보이도록 스푸핑 된 악성코드 첨부파일이 포함된 피싱 이메일이 적어도 한 개의 플로리다 카운티에 직접 전송됐음을 추정할 수 있다. VR시스템은 자체적으로 이 시나리오가 가능성이 있다고 말한다. 

5월 14일 성명서에서 VR시스템은 론 데산티 주지사의 발언을 토대로 한 언론 질의를 받은 후 즉시, 자신들이 답변한 것을 FBI에게 확인, 요청했다. 
"VR시스템은 카운티의 선거 시스템 감독관에 대한 침입 소스가 아니었다. 이 정보를 바탕으로 우리는 우리 회사를 사칭하는 스피어피싱 이메일이 유력한 원인이라고 평가한다"고 말했다.  

이 시나리오는 인터셉트가 2018년 6월에 입수해 발표한 스푸핑된 VR 시스템 이메일과 일치한다. 또한 플로리다 주 67개 지역 가운데 적어도 13개와 20개 선거 사무소가 VR시스템에서 온 것으로 보이는 지메일 계정으로 된 GRU 피싱 이메일을 받았다고 인정한 선 센티널(Sun Sentinel) 보도와도 일치한다. 중요한 것은 GRU에 의해 침해 당한 것으로 추정되는 카운티 중 하나인 섬터 카운티는 GRU 피싱 이메일을 받은 것을 부인했다. 


숙련된 해커는 자신의 흔적을 숨긴다 

선거 관련 보안 전문가들은 플로리다 카운티가 GRU에서 직접 보낸 악성코드가 포함된 피싱 이메일을 통해 침입했던, 해킹당한 VR 시스템 네트워크를 통해 침입했던, 그것과는 상관없이 VR시스템이 해킹 당한 것은 아니라고 주장한다. 

컴퓨터 보안업체인 렌디션 인포섹(Rendition Infosec) 설립자이자 전 NSA TAO(Tailored Access Operations) 해킹 팀 일원이었던 제이크 윌리엄은 VR시스템이 해당 시스템이 해킹 당했음을 부정할 수 없다고 생각한다. 윌리엄은 본지와의 인터뷰에서 "그들의 데이터의 일부가 해킹 당했음은 의심의 여지가 없다"고 말했다. 

노르딕 이노베이션 랩(Nordic Innovation Lab) 창립 파트너이자 선거 보안 전문가인 해리 허스티는 "뮐러 보고서가 말한 것과 VR시스템이 주장하는 것 간에는 명백한 모순이 발생하는데, 이는 VR 시스템이 실제로 일어난 일에 제대로 이해할만한 숙련된 기술이 없고 충분한 네트워크 모니터링이 부족하고, 존재하지 않은 포렌식 등으로 인해 진실을 제대로 알 수 없다. 이 시스템이 어떻게 구축되는지 알고, 어떻게 정보가 보존되어 있지 않은지 아는 것이 중요하다. 많은 시스템이 포렌식 정보를 기록하지 않는다. 근본적으로 보안 기술이 부족하다는 생각이 든다"고 말했다. 
 
또한 일부 선거업체는 마케팅 자료에 언급된 내용임에도 불구하고 공격에 취약한 것으로 보인다. 이는 전혀 탄탄한 시스템이 아니다고 말했다. 
 
VR시스템이 자체 네트워크에 악성 프로그램이 없다는 파이어아이의 평가에 내세우더라도 이것이 GRU가 2016년에 시스템에 악성코드를 삽입하지 않았다는 증거는 아니다. 파이어아이 또는 다른 평판 좋은 보안업체가 2016년 VR시스템의 시스템을 모니터링하고 있었는지 여부가 확실하지 않기 때문이다. 허스티는 "그들에게 2016년 이전에 독립적인 보안 평가를 받은 적이 있는지 묻는 이는 아무도 없다"고 말했다.

GRU 사후에 침해의 증거를 찾는 것은 GRU와 같은 조직이 최고 수준의 스텔스 공격을 전개하고 흔적을 지우거나 바꿀 수 있는 최첨단 조치를 취하는 능력을 감안할 때 불가능한 일일 가능성이 높다. 

허스티는 "오리와 같은 소리를 듣고 오리처럼 걷는 무언가가 오리가 아닐 수 있다"고 말했다. 허스티는 최근 마이크로소프트 메신저 웜이 투표 서버에서 발견된 사례를 제시했다. "이것은 신속하게 제거됐고 시스템은 즉시 복구됐다. 공격자는 이 서버를 재부팅하게 만들었을 수도 있다. 오리일지도 모르지만 오리는 숨어있다. 공격자의 정교함을 생각해야 한다"고 말했다. 


다른 투표 시스템 공급업체의 해킹 여부 

마지막으로 뮐러 보고서에 언급된 공급업체가 VR시스템이 아닐 수도 있다. 일부 선거 보안 및 정보 전문가들은 뮐러 보고서에 단 하나의 공급업체만 언급됐다고 하더라도 여러 공급업체가 침해 당했을 가능성을 생각해봐야 한다고 주장했다. 
렌디션 인포섹의 윌리엄은 "해킹 당한 다른 공급업체가 있다고 해도 놀랄 일이 아니다. 이럴 우려가 있다는 것에는 의심의 여지가 없다"고 말했다. 

뉴욕타임스는 2017년 9월 현재 첩보 당국은 러시아의 해커들이 2016년 투표에 앞서 VR시스템이 아닌 다른, 최소한 두 곳의 선거 서비스 제공업체를 침해했다고 말했다. 허스티는 "2개로 멈추지 않을 것이라고 생각한다"고 말했다.  

보안 전문가들은 본지와의 인터뷰에서 VR시스템이 아니며 러시아의 표적이 됐을 가능성이 있는 공급업체로 여러 플로리다 카운티에게 선거 서비스를 제공하는 한 공급업체를 지목했다. 

이 공급업체는 2016년 GRU가 목표로 삼았거나 해킹 당했다는 것을 일체 부인하고 있다. 이 업체 CEO는 "우리는 어떤 종류의 침해에 대해서도 통보받은 바 없으며, 우리는 이 문제의 일부가 아니다. 침해와 관련된 사항들을 우리에게 왜 이야기하는 지 모르겠다"고 말했다. editor@itworld.co.kr  


X