2024-03-28 20:15 (목)
[김혁준 칼럼] 사이버전의 역사(2)-작전명 사슴사냥(Operation Buckshot Yankee, 2008)
상태바
[김혁준 칼럼] 사이버전의 역사(2)-작전명 사슴사냥(Operation Buckshot Yankee, 2008)
  • 길민권 기자
  • 승인 2019.05.22 12:38
이 기사를 공유합니다

▲ NSA 사이버전술대응 영역
▲ NSA 사이버전술대응 영역

침해사고대응 전문기업 나루씨큐리티 김혁준 대표가 데일리시큐를 통해 '사이버전의 역사'를 주제로 연재를 진행하게 됐습니다. 바쁘신 가운데 기고 수락해 주신 점 감사 인사를 전합니다. 보안의 다양한 주제들을 가지고 김혁준 대표와 데일리시큐 독자들간 의견교환과 정보공유를 할 수 있는 소중한 시간이 되길 바랍니다. -편집자 주-

사이버전을 이해하기 위해서는 먼저 사이버전장으로서의 인터넷을 이해하여야 한다. 인터넷의 시작이라 할 수 있는 알파넷(ARPANET)은 미 국방부의 연구과제로 시작되었으며, 1969년 미국 내 UCLA, 스탠포드, 산타바바라 그리고 유타대학을 하나의 광역 네트워크로 연결한 후 1970년대와 1980년대 다양한 기술적 실험 및 적용을 통해 서서히 현재의 인터넷으로 성장하였다.

냉전시대 경쟁과정에서 미국의 주도로 시작된 인터넷은 현재까지도 그 속성을 이어가고 있다. 인터넷 백본망은 미국 네트워크에 유럽, 아시아 등 다른 지역의 네트워크를 연결하는 방식으로 확장 되었으며, 아직도 최소 60% 이상의 인터넷 트래픽이 불필요하게 미국을 경유하고 있다. 또한 인터넷의 가장 중요한 구성 요소인 루트 디엔에스(Root DNS)는 전세계에 13개가 존재하는데, 이중 10개가 미국 본토에 있으며 단 3개만이 지역적 요소를 고려하여 각각 스웨덴, 영국, 그리고 일본에서 운영되고 있다. 미국에서 운영되는 10개 중 3개는 아직도 미국 정부에 의해 직접 관리되고 있다.

CIA와 NSA 국장을 역임한 마이클 헤이든이 2013년 7월 내셔널저널과의 인터뷰에서 “인터넷은 우리가 만든 우리의 텃밭이고 많은 데이터가 미국을 경유하는데 이를 미국의 이익을 위해 사용하지 않을 이유가 없다.” 라는 말로자국을 경유하는 인터넷 모니터링을 간접적으로 시인 하였다. 이러한 사실로 미루어 볼때 러시아, 중국, 북한 등에서 인터넷을 기울어진 운동장으로 생각하는 것은 터무니 없는 것으로 보기는 어렵다. 러시아의 푸틴 대통령은 인터넷은 러시아를 전복하기 위한 CIA의 음모라고 공공연히 이야기 하고 있으며, 러시아, 중국, 그리고 중앙아시아의 국가들은 상하이연합(Sanghai Cooperation Organization)이라는 인터넷 연합을 구성하여 미국 주도의 인터넷 운영을 견제하고 있다.

두번째 연재의 주제인 ‘사슴사냥’ 작전이 발생한 2008년 이전에도, 1998년 러시아의 해킹으로 미국방부, 국가 주요 연구소 등의 민감정보가 대량으로 탈취된 ‘달밤의 미로’(Moonlight Maze), 2003년 중국의 해킹으로 록히드마틴, NASA 등 주요 군수 사업체 및 연구소의 민감정보들이 탈취된 ‘타이탄레인’(Titan Rain) 등 다수의 사이버공격을 경험 하였고 이러한 공격의 대응을 통해 얻어진 경험을 기반으로 막대한 예산을 투입하여 사이버 방호체계를 강화시켜 왔다.

2010년 월리엄 린 미국국방부 차관보의 포린어페어(Foreign Affairs) 기고를 통해 알려진 ‘사슴사냥’(Operation Buckshot Yankee)은 미국 정부의 사이버전 작전체계를 완전히 변화시킨 가장 큰 사이버 대응작전 중 하나이다. 2008년 후반기에 처음으로 탐지된 이 사고는 미국 기반시설에 대한 지속적인 정찰/정보수집/침해 작업을 수행하던 러시아가 강화된 미군의 보안체계를 우회하기 위해 기획한 공급망공격이다.

러시아는 미군 주둔지 중 하나인 아프카니스탄에 유통되고 있는 서방업체의 USB 공급라인을 파악하고 은밀하게 Agent.btz라는 공격코드를 설치한 후 지역상점에 유통시키는 전술을 구사하였다. 카불의 나토군 사령부 주변의 판매상에서 아무런 의심없이 이를 구입한 미군이 귀환 후 복귀한 부대의 컴퓨터에 USB 드라이브를 장착할때 설치된 악성코드는 군 네트워크 전반에 전파되어 당시 아프가니스탄과 이라크 군사작전에 사용되던 가장 민감한 미국의 군사 네트워크까지 침투하였다.

이 사고는 미군 역사상 가장 큰 침해사고로 기록되어 있으며 이를 기점으로 3년간 미국 정부의 사이버 공격과 방어 작전 개념을 완전히 다시 쓰게 만들었다. 2008년 10월 미국의 최정예 분석조직인 NSA의 ANO(Advanced Network Operation)팀은 미 국방부가 가장 민감한 비밀문서 유통에 사용하는 폐쇄망인 SIPRN(Secret Internet Protocol Router Network)네트워크에서 발생하는 2개의 알려지지 않은 지속통신인 비콘(beacon)을 탐지 하였다. (참고: ANO 팀은 NSA의 가장 뛰어난 분석조직으로 대략 20명에서 30명의 분석가로 구성되며 2006년 내부망 의심징후 분석을 지칭하는 “헌팅”을 위해 구성된 조직이다. 그림 1은 2009년 NSA 취약점분석 및 작전그룹의 수장이던 토니생어의 발표자료 중 ANO의 역할을 명시한 것으로 가장 난이도가 높은 작업을 수행하는 조직임을 잘 나타내고 있다.)

2008년 10월 24일 금요일 리처드 쉐퍼는 NSA를 방문한 조지부시 대통령에게 컴퓨터네트워크 보호방안을 보고하고 있었다. 이때 수일간의 분석으로 사안의 심각성을 인지한 ANO 분석가의 긴급메모가 쉐퍼에게 전달되었으며, 당일 오후 4시 30분 당시 NSA 국장인 키쓰 알랙산더에게, 그날 저녁 미국 합참의장, 국방차관 그리고 의회의 고위급 인사에게 보고되었다. 미국의 가장 민감한 네트워크에 적국의 악성코드가 침투한 상황에서 NSA 국장 키쓰 알랙산더는 고민에 빠지게 된다. 설치된 악성코드가 외부 명령어를 받아오기 위해 지속적인 비콘을 발생시키고 있는 상황에서 단순히 식별된 악성코드 만을 제거하는 것은 쉬운 일이었지만, 도마뱀의 꼬리를 잘라 몸통을 놓치는 우를 범하지 않기위해, 다음날 오후 2시 30분을 기점으로 전격적인 대응작전에 나서게 된다.

키쓰 알랙산더와 쉐퍼는 비콘의 라우팅 경로를 변경하여 마치 자신을 설치한 공격자에게 접속하는 것과 같은 환경을 구성하기로 하고 이를 위한 소프트웨어 제작을 지시하였다. NSA 작전팀은 지시를 받은 후 수시간 만에 이를 완성 하였고, 지휘부는 이때 수집된 정보를 바탕으로 이후 약 14개월에 걸처 울창한 숲속에 숨어있는 사슴을 사냥하듯 악성코드 제거작업을 완료하였다. 이는 향후 미국 사이버전 대응체계의 백미라 할 수 있는 사이버사령부 창설의 직접적 원인이 되었다. ‘사슴사냥 작전’을 통해 사이버작전 수행의 역량을 목도한 미국 국방장관 봅 게이트는 NSA 국장으로 3년간의 임기 마지막에 있던 키쓰 알랙산더를 사성장군으로 진급시키고 2009년 6월 23일 NSA와 새롭게 창설된 사이버사령부 두 부서의 수장으로 임명하게 된다.

[참고서적]
1. KAPLAN, Fred. Dark territory: the secret history of cyber war. Simon and Schuster, 2016.
2. NAKASHIMA, Ellen. Cyber-intruder sparks response debate. The Washington Post, 2011, 8.
3. KLIMBURG, Alexander. The darkening web: The war for cyberspace. Penguin, 2017.
4. SPRINGER, Paul J. (ed.). Encyclopedia of cyber warfare. ABC-CLIO, 2017.

▲ 필자. 김혁준 나루씨큐리티 대표이사
▲ 필자. 김혁준 나루씨큐리티 대표이사
[필자. 김혁준 나루씨큐리티 대표이사 / joonkim@narusec.com / △경찰청 사이버범죄 전문가 그룹위원 △국방데이터센터 자문위원 △한국블록체인협회 보안분과위원 △고려대학교 사이버국방학과 출강 △사이버전 전장 환경 및 네트워크 분석 관련 논문 다수 / △나루시큐리티는 타깃공격대응 전문기업으로 침해사고 원인규명을 위한 사이버킬체인 기반의 사고분석 및 재발방지를 위한 보안아키텍처 수립 방안을 제공하고 있다. 자체 개발한 내부망타깃공격 전문대응솔루션 '컨텍텀(ConnecTome)'과 침해사고대응훈련서비스를 국내외 공공기관 및 기업 등에 제공하고 있다.]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사