보안

글로벌 칼럼 | 미국의 랜섬웨어 소탕 작전의 적절성과 효과

Cynthia Brumfield | CSO 2021.12.15
최근 미국 사이버 사령부(United States Cyber Command) 및 국가 안보국(National Security Agency) 국장 폴 M. 나카소네는 사이버보안 전문가 대부분이 이미 알고 있는 내용, 즉 미군이 랜섬웨어 공격 집단에 대한 공세적 조치에 관여했음을 확인했다. 2021년 5월 콜로니얼 파이프라인을 비롯해 미국 산업계를 강타하고 수많은 의료 및 교육 기관에 피해를 준 랜섬웨어 공격을 억제하고자 하는 목적이었다.
 
ⓒ Getty Images Bank

지난 10월, 사이버 사령부와 FBI 및 동맹국들이 러시아 소재 레빌(REvil) 랜섬웨어 공격 집단이 사용하는 서버 트래픽을 다른 곳으로 돌려 일시적으로 공격 집단을 무력화했다. 레빌은 세계 최대의 육류 가공업체 JBS를 공격해 며칠 동안 육류 생산을 중단시키는 등 지금까지 랜섬웨어 공격을 수차례 감행했다. 사이버 사령부와 NSA의 도움으로 FBI와 법무부는 콜로니얼 파이프라인이 레빌에 지급한 암호화폐 몸값 75BTC(약 400만 달러 상당) 가운데 일부를 압류했다. 

나카소네는 콜로니얼 파이프라인과 JBS에 대한 랜섬웨어 공격이 핵심 인프라에 피해를 주었다면서 “지금까지 여러 정부 기관과 함께 조치를 취해 사이버 공격자에게 금전적 타격을 입혔다”라고 말했다. 사이버 사령부가 랜섬웨어 소탕 작전을 처음 시작한 것은 2020년이다. 당시에는 군 당국도 참여했지만 기관 간 조율 없이 각자 활동했으며, 마이크로소프트가 트릭봇(Trickbot) 네트워크를 와해한 것도 초기 랜섬웨어 소탕 작전의 결과였다. 


“미군까지 합세한 것은 섣부르다”

바이든 행정부가 추진하는 미국 정부의 다각적 대책에 따라 사이버 작전에 군 개입이 늘었다. 하지만 군대의 지원을 받는 비밀 사이버 작전이 랜섬웨어 공격을 멈추는 데 실질적인 효과가 있는지에 대해서는 의문이 남는다.

미국 국가 안전 보장 회의의 한 관계자는 랜섬웨어 공격 집단이 도피하며 공격이 감소하고 있다고 밝혔지만, FBI는 랜섬웨어 세력이 이대로 잦아들 것이라고 기대하지 않는다. 또 사이버보안 및 인프라 보안국 국장 젠 이스털리는 “2021년 7월 바이든이 러시아 대통령 블라디미르 푸틴에게 랜섬웨어 공격 집단을 소탕할 시간이 얼마 남지 않았다고 경고한 이후에도 러시아 정부가 여전히 랜섬웨어 집단을 숨기고 배후에서 지원하고 있다”라고 지적했다. 

랜섬웨어 공격 집단을 대상으로 미군이 행동에 나서는 것이 과연 적절한가에 대한 의문도 있다. 국가 소속 위협 행위자가 랜섬웨어 공격을 실행한 것인지 확실하지 않을뿐더러, 랜섬웨어 공격이 지속적인 분쟁이나 전쟁의 일부도 아니기 때문이다. 사이버 충돌 연구 연합(Cyber Conflict Studies Association) 회장 제이슨 힐리는 “심각한 군사적 충돌이 없는 상황에서 군대가 광범위한 힘을 갖도록 허용하는 것은 미국의 민-군 관계의 모델이 아니다”라고 말했다.


“가능한 모든 조치를 취하는 것이 맞다”

사이버 엑스퍼티즈(Cyber Expertise)의 글로벌 포럼 회장 크리스 페인터는 CSO와의 인터뷰에서 “사이버 사령부가 랜섬웨어 행위자에 대한 조치에 나선 것이 나쁜 일이라고 생각하지 않는다. 랜섬웨어가 핵심 인프라에 대한 타격 측면에서 국가적 보안 위협이라면, 가능한 모든 대응 조치를 취하는 것이 맞다. 형사법 집행과 경제적 제재는 물론 사이버 작전 툴도 포함된다”라고 설명했다.

페인터는 2가지 이유를 들어 사이버 사령부의 조치가 적절하다고 판단했다. 페인터는 “첫 번째 이유는 국제적 보안이다. 랜섬웨어는 일반적인 범죄 위협이 아니다. 두 번째 이유는 행위자 가운데 일부는 일반 사법기관의 힘이 미치지 못하는 곳에서 활동하기 때문이다. 따라서 이에 대처할 수 있는 무기가 필요하며, 적절한 상황에서 그 무기를 사용해야 한다”라고 덧붙였다. 

보안 업체 레코디드 퓨처(Recorded Future)의 인텔리전스 분석가 앨런 리스카도 미군 개입을 적절하다고 봤다. 리스카는 “사이버 군사 작전과 물리적 군사 작전 사이에는 차이가 있다. 드론으로 랜섬웨어 공격 집단을 타격한다는 농담도 있지만, FBI나 사법기관에 그럴 역량이 없는 상황이라면 군대가 그런 힘을 사용하는 것이 문제가 되지는 않는다”라고 말했다. 

사이버 사령부의 조치가 랜섬웨어 공격 감소로 이어질지는 아직 미지수이지만, 리스카는 장기적으로 영향을 미칠 것으로 전망했다. 리스카는 “당장 공격을 포기할 만큼은 아니더라도 최소한 일부 랜섬웨어 공격 집단을 고민하게 하는 효과는 있을 것이다. 지속해서 압박할 수 있다면 결국 행위자가 공격을 포기하기 시작할 것”이라고 바라봤다. 

 

랜섬웨어 소탕 작전의 효과는? “아직 판단할 수 없다”

실제로 일부 랜섬웨어 공격이 이미 감소하고 있는 것으로 나타났다. 2021년 하반기 의료업체와 학교를 표적으로 하는 공격이 줄었다. 다만 제조업체와 독일과 프랑스 등 랜섬웨어 공격 소탕에 대한 의지를 명확하게 표명하지 않은 국가를 대상으로 한 랜섬웨어 공격은 계속 증가하고 있다.

페인터는 랜섬웨어 공격 소탕 작전의 효과성에 대한 정부 관계자의 의견이 일치하지 않는 것이 정확한 데이터의 부재 탓이라고 지적했다. 페인터는 “누구도 아직 모든 데이터를 가지고 있지는 않을 것이다. 랜섬웨어 공격 집단이 잠잠해졌다 해도 단순히 조직을 재편하는 중일 수도 있다. 장기적인 효과를 측정하기에는 무리가 있다. 여전히 많은 랜섬웨어 공격이 발생하고 있다”라고 강조했다. 

바이든과 푸틴은 지난 7일 화상 회담을 진행했다. 주요 안건은 우크라이나 국경의 긴장 고조였으나 백악관 대변인 젠 사키는 사이버보안도 안건에 포함됐다고 밝혔다. 리스카는 “바이든은 푸틴에게 같은 이야기를 반복해야 한다. 즉, 랜섬웨어 공격 활동을 계속 용인하고 조치를 위할 의지를 보이지 않는다면, 미국이 어떤 형태로든 조치에 나설 수밖에 없을 것이라는 말을 계속해야 한다”라고 지적했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.