2019.12.05

미국 민주당 해킹 사건과 크라우드스트라이크와 우크라이나에 관한 타임라인과 사실 개요

Cynthia Brumfield | CSO
전문가들은 사이버보안의 정치화는 사이버보안의 관행과 객관성에 대한 신뢰를 저해할 뿐이라고 우려하고 있다. 
 
ⓒ Getty Images Bank 

도널드 트럼프 미 대통령, 존 케네디 루이지애나주 상원의원, 마이크 폼페이오 미 국무장관이 민주당 해킹 사건에 우크라이나가 배후에 있다고 주장하는 것은 이들을 러시아가 후원하고 있다는 사이버보안 전문가와 미국 정보라인의 근거없는 음모론에 신빙성을 더하고 있다. 

이 음모론에 따르면, 2016년 대선을 앞두고 러시아가 아닌 우크라이나가 미국 민주당(DNC)의 네트워크를 해킹한 책임이 있다는 것이다.

케네디는 DNC 해킹에 대해 우크라이나를 비난한 것을 재빨리 철회했지만, 그럼에도 불구하고 논쟁의 여지를 남겼다. 케네디는 러시아가 아닌 우크라이나가 DNC를 해킹했다고 암시한 것은 “잘못했다”고 시인한 뒤, “모두가 생각하듯이 2016년 선거에서 러시아 및 아마도 다른 나라들과 함께 우크라이나가 방해하려 했다는 입증된, 그리고 입증되지 않은 많은 증거가 있다”고 말을 이어갔다.

보안 전문가들은 이와 같은 최고위급 공무원들이 신빙성 없는 주장을 일삼는 것은 1차적 위협에 대처하려는 합의된 노력을 저해한다고 생각한다. 또한 확립된 보안 포렌식 관행을 의심하는 것이기도 하다. 우크라이나 선거 해킹론은 어디서 비롯되었는가? 

트럼프 미 대통령이 2019년 7월 25일 우크라이나 대통령 볼로디미르 젤렌스키와 전화 통화한 메모를 공개한 이후, 이 음모론에 대해 많은 기사가 쏟아졌다. 통화 과정에서 트럼프는 새로 선출된 젤렌스키 우크라이나 대통령에게 “우크라이나와 관련된 이 상황이 어떻게 된 것인지 당신이 알아봐줬으면 좋겠다. 사람들이 크라우드스트라이크(CrowdStrike)라고 말하던데, 우크라이나의 부유한 사람들 중 한 명일 것 같다. 우크라이나가 그 서버를 가지고 있다고 들었다”라고 말했다.

지난 주 트럼프는 TV쇼 ‘폭스 앤 프렌즈(Fox and Friends)’ 진행자들과 대화하면서 아주 크게 안도감을 표현했다. 그는 53분간의 인터뷰에서 “많은 부분이 우크라이나와 관련이 있다고 사람들이 말한다. 우크라이나가 서버를 가지고 있지 않은가? DNC에서... 그들은 그 서버를 크라우드스트라이크든가 아니면 이름이 무엇이든간에 매우 부유한 우크라이나인이 소유한 회사인데, 나는 여전히 그 서버를 보고 싶다. FBI는 이 서버를 확보한 적이 없다. 그게 이 모든 일의 중요한 부분이다. 왜 우크라이나 회사에 줬을까?”라고 말했다. 

사이버보안 커뮤니티와 일부 정보 커뮤니티에 속한 첩보원들의 관점에서 보자면, 젤렌스키와의 통화 메모에서 크라우드스트라이크를 언급한 것은 처음에는 뜬금없으면서 혼란스러운 엉뚱한 결론이었다. 확실히 트럼프는 젤렌스키와 통화하기 전에 DNC 서버를 언급했었다.

트럼프는 2018년 7월 블라디미르 푸틴 러시아 대통령과의 공동기자회견에서 “왜 FBI가 서버를 가져가지 않았는지 의아해하는 단체들이 있다. 왜 서버를 안 가져갔을까? 왜 FBI는 DNC 사무실에서 나가라는 말을 들었을까? 그것이 궁금하다”라고 말했다.

FBI는 적절하게 포렌식 증거를 수집했다. 로버트 뮬러 특별검사가 2016년 대선 당시 러시아 방해 조사 보고서를 통해 밝힌 것처럼 러시아 해킹 이후 DNC가 140여 대가 넘는 서버를 폐기했다는 점을 감안할 때 트럼프가 FBI가 서버 하나를 입수하지 못했다고 언급한 것은 적절하지 않은 비난으로 여겨졌다. 

게다가, FBI는 분석을 이들 서버의 이미지를 입수하고, 연결된 장치의 메모리 덤프에 관여하고, 네트워크 로그를 수집해 분석을 수행할 수 있는 충분한 포렌식 증거를 확보했다.  

대부분의 전문가는 FBI의 포렌식 기법들이 기계의 플러그를 뽑아서 운반함으로써 얻을 수 있는 것보다 더 우수한 증거를 확보했으며, 이 때문에 메모리에 상주하는 중요한 증거들이 사라졌을 것이라고 주장한다. 

마지막으로, 러시아에 의해 해킹된 물리적 DNC 서버는 이제 워터게이트 강도들에 의해 부서진 서류 캐비넷 옆에 있는 DNC 지하실에 있다.
CSO와 통화한 국방부 사이버 위협 분석가에 따르면, “크라우드스트라이크는 포렌식 이미지를 얻었으며, 이를 FBI에 제공했다. 아무도 더 이상 물리적인 하드웨어를 필요로 하지 않는다”라고 말했다.


민주당 해킹의 핵심 사실들 

트럼프가 우크라이나를 지목한 것을 둘러싼 다른 사실들이 모순이라는 점 역시 반박의 여지가 없다. 

1. 크라우드스트라이크는 캘리포니아주 서니베일에 본사를 둔 미국 기업으로 3명의 미국 시민들이 설립했으며, 이들은 모두 사이버보안 업체 맥아피(McAfee) 출신이다. 이 업체의 CTO이자 공동 창업자인 드미트리 알페로비치는 모스크바에서 태어나 구소련 시절 가족과 함께 10대 때 미국으로 탈출했다. 이 업체의 주식은 미국 나스닥 거래소에서 공개적으로 거래되고 있다.

2. 2016년 5월, 크라우드스트라이크의 사고 대응팀은 DNC의 연락을 받고 유출에 대응했고, DNC 네트워크에서 2개의 정교한 러시아 적(코지 베어 및 팬시 베어)을 발견했다. 크라우드스트라이크는 DNC가 공격 사실을 공개한 후 블로그 게시물에서 조사에 대해 논의했다. 2016년 12월, 크라우드스트라이크는 보다 상세한 분석 보고서를 발표했다.

3. 2017년 1월 미국 정보 커뮤니티의 종합 평가는 러시아 정보기관이 2015년 7월부터 DNC 네트워크에 접속해 2016년 3월까지 접속을 유지했다고 결론지었다.

4. 2018년 7월 로버트 뮬러 특별검사는 DNC와 클린턴 선거캠프의 해킹과 관련해 러시아 첩보원 12명을 기소했다. 이 기소는 러시아가 어떻게 정보유출에 성공했는지에 대한 구체적이고 설득력 있는 증거를 제시한다. 그것은 또한 다른 정보 보급 수단들 중에서도 가짜 인물인 구시퍼(Guccifer) 2.0을 이용해 그 증거가 어떻게 무기화 되었는지도 대략적으로 제시한다. 

5. 뮬러가 2019년 3월 22일 법무장관 윌리엄 바에게 제출한 448쪽 분량의 러시아의 2016년 선거 방해에 대한 조사 결과 보고서에서는 러시아 정부가 ‘전면적이고 체계적인 방식으로 2016년 대선에 개입해 미국 형법을 위반했다’고 결론을 내렸다. 이 보고서는 러시아 군 정보기관이 ‘민주당 하원 선거위원회(DCCC)와 민주당 전국위원회(DNC)의 전산망’을 해킹했다는 증거로 공소장 등 특검 사무실의 업무내용을 상세히 소개했다.


DNC 해킹, 이전의 독일 의회 해킹과 관련  

정보기관과 사이버보안 전문가들은 DNC 해킹 훨씬 전에 러시아의 위협조직을 추적해 그들의 흔적을 조사하고 활동을 감시하고 있었다. 

DNC가 해킹 사실을 밝힌 직후, 저명한 사이버보안 연구원 매트 테이트는 러시아를 DNC 서버 해킹과 연결하는 사이버보안 전문가이자 작가인 토마스 리드의 기술적 발견을 강조했다. 매트 테이트는 구글 프로젝트 제로와 일한 적이 있으며, 지금은 텍사스대 오스틴캠퍼스 로버트 스트라우스 국제보안 및 국제법센터의 사이버보안 선임연구원이다. 

리드는 DNC 해킹에 사용된 악성코드 제어 서버가 수년 전 독일 의회의 해킹에 사용된 악성코드 제어 서버와 동일한 컴퓨터들이라는 것을 발견했다. 독일 연방헌법수호청(BfV) 청장은 이번 독일 연방하원 해킹을 러시아 정보당국의 소행으로 주장했다.

   
객관적 실체에 대한 공격

이런 모든 증거에도 불구하고 사이버보안 전문가들은 그들이 객관적 실체로 인지하고 있는 것을 덮어버리는 것처럼 보이는 주장들에 어떻게 대처하고 있을까? 대부분의 정보보안 전문가는 우크라이나 음모론은 진실에 기반을 두고 있지 않다고 용감하게 지적한다. 혹은 국방부 사이버위협 분석가들은 본지에 “우크라이나와 DNC 서버에 대한 이야기는 말도 안되는 순 엉터리다”라고 말한다.
  
업가드(Upguard)의 사이버 위험 연구 책임자인 크리스 비커리는 본질적으로 현재의 정치 환경에서는 '사실이 진실의 적(facts are the enemy of the truth)'이라는 세르반테스의 돈키호테를 인용해 말했다. 

비커리는 “GRU(러시아 군 정보당국)가 미국 선거의 완전성과 과정에 대한 장기간의 공격을 수행했으며 지금도 실시하고 있다고 모든 미 정보기관이 결론을 내렸다”고 말했다. 비커리는 “그러나 미국 대통령 자신은 동의하지 않으며 모든 상황이 ‘농간’이라고 공개적으로 말하는 바람에 이들 정보기관의 그와 같은 결론은 갑자기 모호한 정치적인 것이 되고 있다”라고 밝혔다. 

미국 캘리포니아주 버클리 소재 국제컴퓨터과학연구소의 컴퓨터 보안 전문가인 니콜라스 위버 선임연구원은 본지와의 인터뷰에서 “러시아의 DNC와 포데스타 해킹은 ‘타당하지 않은 사실부정’에 불과하다. 자신을 납득시키고자 하는 사람들은 그저 산더미 같은 증거들을 고의적으로 무시한다. 그렇게 할 수 있는 유일한 이유는 진실을 인정해 대통령의 개인적인 망상에 맞서기 위함이다”라고 밝혔다. 

그러나 이런 망상은 러시아 군사 정보 그 자체에서 유래했을 가능성이 높다. 버즈피드는 러시아 선전 매체인 러시아 투데이와 스푸트니크 뉴스에 크로우드스트라이크 음모론이 처음 등장한 점을 주목하면서 우크라이나 음모론의 기원을 깊이 살펴보았다. 이 후 이 음모론은 포챈(4chan)과 레딧에서 확산되었으며 지금의 모습으로 변했다.
 
전 미 국가안보회의(NSC) 국장 피오나 힐은 하원 탄핵 심판 증언에서 우크라이나 음모론의 배후로 러시아를 지목했다. 힐은 “이는 러시아 보안 서비스 자체가 만들어 전파하는 허구적 이야기”라고 말했다.

업가드의 비커리는 “우크라이나가 배후라는 식의 이야기는 러시아 정부의 주장을 제외하면 아무런 증거가 없다. 증거가 있다면 정말 보고 싶다” 라고 정리했다. editor@itworld.co.kr 


2019.12.05

미국 민주당 해킹 사건과 크라우드스트라이크와 우크라이나에 관한 타임라인과 사실 개요

Cynthia Brumfield | CSO
전문가들은 사이버보안의 정치화는 사이버보안의 관행과 객관성에 대한 신뢰를 저해할 뿐이라고 우려하고 있다. 
 
ⓒ Getty Images Bank 

도널드 트럼프 미 대통령, 존 케네디 루이지애나주 상원의원, 마이크 폼페이오 미 국무장관이 민주당 해킹 사건에 우크라이나가 배후에 있다고 주장하는 것은 이들을 러시아가 후원하고 있다는 사이버보안 전문가와 미국 정보라인의 근거없는 음모론에 신빙성을 더하고 있다. 

이 음모론에 따르면, 2016년 대선을 앞두고 러시아가 아닌 우크라이나가 미국 민주당(DNC)의 네트워크를 해킹한 책임이 있다는 것이다.

케네디는 DNC 해킹에 대해 우크라이나를 비난한 것을 재빨리 철회했지만, 그럼에도 불구하고 논쟁의 여지를 남겼다. 케네디는 러시아가 아닌 우크라이나가 DNC를 해킹했다고 암시한 것은 “잘못했다”고 시인한 뒤, “모두가 생각하듯이 2016년 선거에서 러시아 및 아마도 다른 나라들과 함께 우크라이나가 방해하려 했다는 입증된, 그리고 입증되지 않은 많은 증거가 있다”고 말을 이어갔다.

보안 전문가들은 이와 같은 최고위급 공무원들이 신빙성 없는 주장을 일삼는 것은 1차적 위협에 대처하려는 합의된 노력을 저해한다고 생각한다. 또한 확립된 보안 포렌식 관행을 의심하는 것이기도 하다. 우크라이나 선거 해킹론은 어디서 비롯되었는가? 

트럼프 미 대통령이 2019년 7월 25일 우크라이나 대통령 볼로디미르 젤렌스키와 전화 통화한 메모를 공개한 이후, 이 음모론에 대해 많은 기사가 쏟아졌다. 통화 과정에서 트럼프는 새로 선출된 젤렌스키 우크라이나 대통령에게 “우크라이나와 관련된 이 상황이 어떻게 된 것인지 당신이 알아봐줬으면 좋겠다. 사람들이 크라우드스트라이크(CrowdStrike)라고 말하던데, 우크라이나의 부유한 사람들 중 한 명일 것 같다. 우크라이나가 그 서버를 가지고 있다고 들었다”라고 말했다.

지난 주 트럼프는 TV쇼 ‘폭스 앤 프렌즈(Fox and Friends)’ 진행자들과 대화하면서 아주 크게 안도감을 표현했다. 그는 53분간의 인터뷰에서 “많은 부분이 우크라이나와 관련이 있다고 사람들이 말한다. 우크라이나가 서버를 가지고 있지 않은가? DNC에서... 그들은 그 서버를 크라우드스트라이크든가 아니면 이름이 무엇이든간에 매우 부유한 우크라이나인이 소유한 회사인데, 나는 여전히 그 서버를 보고 싶다. FBI는 이 서버를 확보한 적이 없다. 그게 이 모든 일의 중요한 부분이다. 왜 우크라이나 회사에 줬을까?”라고 말했다. 

사이버보안 커뮤니티와 일부 정보 커뮤니티에 속한 첩보원들의 관점에서 보자면, 젤렌스키와의 통화 메모에서 크라우드스트라이크를 언급한 것은 처음에는 뜬금없으면서 혼란스러운 엉뚱한 결론이었다. 확실히 트럼프는 젤렌스키와 통화하기 전에 DNC 서버를 언급했었다.

트럼프는 2018년 7월 블라디미르 푸틴 러시아 대통령과의 공동기자회견에서 “왜 FBI가 서버를 가져가지 않았는지 의아해하는 단체들이 있다. 왜 서버를 안 가져갔을까? 왜 FBI는 DNC 사무실에서 나가라는 말을 들었을까? 그것이 궁금하다”라고 말했다.

FBI는 적절하게 포렌식 증거를 수집했다. 로버트 뮬러 특별검사가 2016년 대선 당시 러시아 방해 조사 보고서를 통해 밝힌 것처럼 러시아 해킹 이후 DNC가 140여 대가 넘는 서버를 폐기했다는 점을 감안할 때 트럼프가 FBI가 서버 하나를 입수하지 못했다고 언급한 것은 적절하지 않은 비난으로 여겨졌다. 

게다가, FBI는 분석을 이들 서버의 이미지를 입수하고, 연결된 장치의 메모리 덤프에 관여하고, 네트워크 로그를 수집해 분석을 수행할 수 있는 충분한 포렌식 증거를 확보했다.  

대부분의 전문가는 FBI의 포렌식 기법들이 기계의 플러그를 뽑아서 운반함으로써 얻을 수 있는 것보다 더 우수한 증거를 확보했으며, 이 때문에 메모리에 상주하는 중요한 증거들이 사라졌을 것이라고 주장한다. 

마지막으로, 러시아에 의해 해킹된 물리적 DNC 서버는 이제 워터게이트 강도들에 의해 부서진 서류 캐비넷 옆에 있는 DNC 지하실에 있다.
CSO와 통화한 국방부 사이버 위협 분석가에 따르면, “크라우드스트라이크는 포렌식 이미지를 얻었으며, 이를 FBI에 제공했다. 아무도 더 이상 물리적인 하드웨어를 필요로 하지 않는다”라고 말했다.


민주당 해킹의 핵심 사실들 

트럼프가 우크라이나를 지목한 것을 둘러싼 다른 사실들이 모순이라는 점 역시 반박의 여지가 없다. 

1. 크라우드스트라이크는 캘리포니아주 서니베일에 본사를 둔 미국 기업으로 3명의 미국 시민들이 설립했으며, 이들은 모두 사이버보안 업체 맥아피(McAfee) 출신이다. 이 업체의 CTO이자 공동 창업자인 드미트리 알페로비치는 모스크바에서 태어나 구소련 시절 가족과 함께 10대 때 미국으로 탈출했다. 이 업체의 주식은 미국 나스닥 거래소에서 공개적으로 거래되고 있다.

2. 2016년 5월, 크라우드스트라이크의 사고 대응팀은 DNC의 연락을 받고 유출에 대응했고, DNC 네트워크에서 2개의 정교한 러시아 적(코지 베어 및 팬시 베어)을 발견했다. 크라우드스트라이크는 DNC가 공격 사실을 공개한 후 블로그 게시물에서 조사에 대해 논의했다. 2016년 12월, 크라우드스트라이크는 보다 상세한 분석 보고서를 발표했다.

3. 2017년 1월 미국 정보 커뮤니티의 종합 평가는 러시아 정보기관이 2015년 7월부터 DNC 네트워크에 접속해 2016년 3월까지 접속을 유지했다고 결론지었다.

4. 2018년 7월 로버트 뮬러 특별검사는 DNC와 클린턴 선거캠프의 해킹과 관련해 러시아 첩보원 12명을 기소했다. 이 기소는 러시아가 어떻게 정보유출에 성공했는지에 대한 구체적이고 설득력 있는 증거를 제시한다. 그것은 또한 다른 정보 보급 수단들 중에서도 가짜 인물인 구시퍼(Guccifer) 2.0을 이용해 그 증거가 어떻게 무기화 되었는지도 대략적으로 제시한다. 

5. 뮬러가 2019년 3월 22일 법무장관 윌리엄 바에게 제출한 448쪽 분량의 러시아의 2016년 선거 방해에 대한 조사 결과 보고서에서는 러시아 정부가 ‘전면적이고 체계적인 방식으로 2016년 대선에 개입해 미국 형법을 위반했다’고 결론을 내렸다. 이 보고서는 러시아 군 정보기관이 ‘민주당 하원 선거위원회(DCCC)와 민주당 전국위원회(DNC)의 전산망’을 해킹했다는 증거로 공소장 등 특검 사무실의 업무내용을 상세히 소개했다.


DNC 해킹, 이전의 독일 의회 해킹과 관련  

정보기관과 사이버보안 전문가들은 DNC 해킹 훨씬 전에 러시아의 위협조직을 추적해 그들의 흔적을 조사하고 활동을 감시하고 있었다. 

DNC가 해킹 사실을 밝힌 직후, 저명한 사이버보안 연구원 매트 테이트는 러시아를 DNC 서버 해킹과 연결하는 사이버보안 전문가이자 작가인 토마스 리드의 기술적 발견을 강조했다. 매트 테이트는 구글 프로젝트 제로와 일한 적이 있으며, 지금은 텍사스대 오스틴캠퍼스 로버트 스트라우스 국제보안 및 국제법센터의 사이버보안 선임연구원이다. 

리드는 DNC 해킹에 사용된 악성코드 제어 서버가 수년 전 독일 의회의 해킹에 사용된 악성코드 제어 서버와 동일한 컴퓨터들이라는 것을 발견했다. 독일 연방헌법수호청(BfV) 청장은 이번 독일 연방하원 해킹을 러시아 정보당국의 소행으로 주장했다.

   
객관적 실체에 대한 공격

이런 모든 증거에도 불구하고 사이버보안 전문가들은 그들이 객관적 실체로 인지하고 있는 것을 덮어버리는 것처럼 보이는 주장들에 어떻게 대처하고 있을까? 대부분의 정보보안 전문가는 우크라이나 음모론은 진실에 기반을 두고 있지 않다고 용감하게 지적한다. 혹은 국방부 사이버위협 분석가들은 본지에 “우크라이나와 DNC 서버에 대한 이야기는 말도 안되는 순 엉터리다”라고 말한다.
  
업가드(Upguard)의 사이버 위험 연구 책임자인 크리스 비커리는 본질적으로 현재의 정치 환경에서는 '사실이 진실의 적(facts are the enemy of the truth)'이라는 세르반테스의 돈키호테를 인용해 말했다. 

비커리는 “GRU(러시아 군 정보당국)가 미국 선거의 완전성과 과정에 대한 장기간의 공격을 수행했으며 지금도 실시하고 있다고 모든 미 정보기관이 결론을 내렸다”고 말했다. 비커리는 “그러나 미국 대통령 자신은 동의하지 않으며 모든 상황이 ‘농간’이라고 공개적으로 말하는 바람에 이들 정보기관의 그와 같은 결론은 갑자기 모호한 정치적인 것이 되고 있다”라고 밝혔다. 

미국 캘리포니아주 버클리 소재 국제컴퓨터과학연구소의 컴퓨터 보안 전문가인 니콜라스 위버 선임연구원은 본지와의 인터뷰에서 “러시아의 DNC와 포데스타 해킹은 ‘타당하지 않은 사실부정’에 불과하다. 자신을 납득시키고자 하는 사람들은 그저 산더미 같은 증거들을 고의적으로 무시한다. 그렇게 할 수 있는 유일한 이유는 진실을 인정해 대통령의 개인적인 망상에 맞서기 위함이다”라고 밝혔다. 

그러나 이런 망상은 러시아 군사 정보 그 자체에서 유래했을 가능성이 높다. 버즈피드는 러시아 선전 매체인 러시아 투데이와 스푸트니크 뉴스에 크로우드스트라이크 음모론이 처음 등장한 점을 주목하면서 우크라이나 음모론의 기원을 깊이 살펴보았다. 이 후 이 음모론은 포챈(4chan)과 레딧에서 확산되었으며 지금의 모습으로 변했다.
 
전 미 국가안보회의(NSC) 국장 피오나 힐은 하원 탄핵 심판 증언에서 우크라이나 음모론의 배후로 러시아를 지목했다. 힐은 “이는 러시아 보안 서비스 자체가 만들어 전파하는 허구적 이야기”라고 말했다.

업가드의 비커리는 “우크라이나가 배후라는 식의 이야기는 러시아 정부의 주장을 제외하면 아무런 증거가 없다. 증거가 있다면 정말 보고 싶다” 라고 정리했다. editor@itworld.co.kr 


X