2024-03-19 13:30 (화)
[김혁준 칼럼] 사이버전의 역사(7)-조연에서 주연으로
상태바
[김혁준 칼럼] 사이버전의 역사(7)-조연에서 주연으로
  • 길민권 기자
  • 승인 2019.08.13 17:05
이 기사를 공유합니다

미국, 사이버전 체계를 조직과 체계 중심으로 개편…사이버전 초강대국으로 부상
스턱스넷이 시험된 이스라엘 네가브 사막의 원자력 발전 설비.
스턱스넷이 시험된 이스라엘 네가브 사막의 원자력 발전 설비.

침해사고대응 전문기업 나루씨큐리티 김혁준 대표가 데일리시큐를 통해 <사이버전의 역사>를 주제로 연재를 진행하고 있습니다. 바쁘신 가운데 기고 수락해 주신 점 감사드립니다. ‘사이버전’을 주제로 김혁준 대표와 데일리시큐 독자간 의견교환과 정보공유를 할 수 있는 소중한 시간이 되길 바랍니다. -편집자 주-

현대 사이버전의 가장 최첨단을 달리는 국가는 인터넷을 창조하고 가장 앞선 IT 기술로 지속적인 사이버 세계를 확대하고 있는 미국이라 할 수 있다. 하지만 로마가 하루 아침에 만들어진 것이 아닌 것처럼 미국 역시 하루 아침에 사이버 강대국이 된 것은 아니다.

1997년 6월 9일 사이버전의 개념조차 희미하던 시절, 스물다섯 명의 미국 국가안전 보장국(NSA) 공격팀은 ‘적격 수신자’(Eligible Receiver)라는 작전명으로 극비리에 자국의 기반시설과 군의 전술체계에 대한 모의해킹을 실시하였다. 당시 시나리오는 미국의 경제제재를 당하고 있는 북한과 이란 등이 미군 태평양 사령부, 펜타곤 그리고 연결된 국방 체계에 대한 사이버 공격으로 군 전술통제체계를 무력화하는 것이었다. 단 4일간의 훈련기간 동안 공격팀은 모든 목표물에 ‘킬로이가 여기 왔다감’이라는 식별자를 남기는 데 성공하였고 당시 4성 장군으로 향후 국방차관이 된 존 햄르(John Hemre) 대장을 비롯한 군 지도부는 모의침투 결과를 직접 브리핑받으며 사이버 공격에 대한 미군 체계의 허술함에 경악을 금치 못하였다.

이러한 노력에도 불구하고 1998년 2월 3일 미 샌안토니오의 공군 정보전센터 침해사고 분석팀은 샌안토니오를 비롯한 총 4개의 공군전술체계에 심각한 침해사고가 발생한 것을 탐지하였다. 당시 공격자는 MIT 네트워크를 통해 미 공군 체계에 침투하고 네트워크 통신 모니터링을 통해 군 체계의 디렉터리, 사용자명 그리고 패스워드를 탈취하여 향후 지속적 접근을 위한 백도어를 설치하였다. 공격자는 유닉스 시스템의 하나인 솔라리스 체계의 취약점을 이용하여 군 네트워크 공격에 성공하였다. 공격의 심각성을 인지한 군은 “떠오르는 해”(Solar Sunrise)라는 코드명을 부여하여 본격적인 대응에 착수하였다. 모든 공격은 공통적으로 동부시간 기준 저녁 6시에서 11시 사이에 발생하였는데, 이는 바그다드, 모스크바에서 야간 혹은 베이징의 오전 시간대에 작업이 이루어진 것으로 추정되었다. 그러나 이 시간은 샌프란시스코 고등학생의 방과 후 시간과도 일치하였는데, FBI와의 공조를 통한 분석 결과 공격자는 이스라엘 해커에게 조언을 받은 샌프란시스코 교외에 사는 고등학생인 것으로 밝혀졌다. 이 사건을 통해 고등학생에게 유린되는 국가정보보호체계라는 이미지가 수년간 대중에게 각인되었다.

이렇듯 자신이 창조한 공간에서 조차 속수무책으로 보이던 미국은 발생한 침해사고에 대한 철저한 원인 분석을 통해 기존의 개인 중심, 경험 중심의 사이버전 체계를 조직과 체계 중심으로 개편하여 사이버전 초강대국으로 부상하게 된다.

2009년 스턱스넷이라는 이름으로 세상에 알려진 공식 명칭 ‘올림픽 게임’(Operation Olympic Game)은 최초로 사이버 공격을 통해 물리적 체계를 파괴한 작전으로 사이버전이 조연으로의 역할에서 벗어나 본격적인 주연으로 등장한 첫 사례다.

2009년 10월 이란의 나탄즈에 위치한 핵시설을 점검하고자 방문한 국제 원자력기구(IAEA) 부국장 올리 하이노넨은 이란 핵발전소에 대한 정기 사찰 중 수천 개의 파괴된 우라늄 원심분리기의 교체 작업을 목격하였다. 이는 스턱스넷 0.5라고 불리는 code417에 의해 수행된 것으로 해당 코드는 우라늄 원심분리기의 밸브 개폐를 조작하여 원심 분리기가 중심을 잃고 쓰러지게 하는 방식으로 동작하였다. 사이버 영역에서 최초로 물리적 파괴를 수행한 이 공격은 기술적으로 매우 성공적이었으나 이란 정부는 곧 파괴된 원심분리기를 모두 새로운 제품으로 교체하여 미국과 이스라엘의 첫 사이버 합동 공격은 새롭게 교체된 시설을 처음부터 다시 공격해야 하는 상황에 이르렀다.

이를 통해 기술적 성취 만으로는 얻을 것이 매우 적다는 것을 깨달은 미국과 이스라엘은 공격 방식을 변경하여 PLC 제어시스템에 대한 중간자(MITM) 공격을 수행하여 시스템 제어를 위해 전송되는 모든 명령어를 악성 제어 명령어로 변경하여 전송되도록 하였다. 이때 공격자는 단순히 정상 명령어를 비정상 명령어로 변경하는 대신 전송되는 정상 명령어 앞부분에 악성 명령어가 먼저 수행되도록 하는 방법을 통해 탐지 체계를 회피하였다.

더욱 놀라운 것은 마치 허리우드 영화에서 감시카메라에 현 상황이 아닌 녹화된 정상 상황이 플레이되도록 하는 것과 같이 악성 명령어가 전송되기 전 최소 2주 동안 정상적으로 전송되는 명령어와 이 명령어에 대한 전송 값을 모두 기록한 후 공격 진행 시 발전소의 모든 모니터링 체계에는 정상 동작 상태만 표시되도록 하였다. 또한 PLC 시스템에서 이상 징후 발생 시 시스템 동작 정지를 위해 발생시키는 OB 35 블록 코드를 변경하여 어떤 상황에서도 시스템 이상 징후 경보가 발생되지 않도록 하였다.

이후 공격자는 원심분리기 속도를 정상보다 매우 빠른 1,410Hz로 15분간 동작 시킨 이후 3주 동안 2Hz로 낮추어 15분 동작하도록 하는 방식으로 변경하였다. 이는 원심 분리기에서 핵무기로 전용이 가능한 방사능 동위원소 생성을 가장 비 효율적으로 만드는 방법이었다. 이 방법을 알아내기 위해 미국과 이스라엘의 과학자들은 네가브 사막에 구축한 모사 핵시설에서 수년간 연구를 수행한 것으로 알려져 있다.

공격이 진행되는 동안 이란 정부는 생성되는 우라늄의 양이 절반 이하로 줄어든 원인을 찾기 위해 동분서주하였지만 스스로 그 원인을 찾지 못하였고 공격 사실이 밝혀진 후에도 자신의 시스템이 얼마나 장악되었는지 알 수가 없어 모든 시스템을 전부 교체하여야 했다. 이러한 과정에서 이란의 핵프로그램은 최소 3년의 지연이 발생하였고 2015년 결국 이란은 미국과 핵프로그램 동결에 합의하게 되었다.

초기 공격자는 ‘떠오르는 해” 경우와 같이 상시적 조직을 갖추지 못하고 개인적 동기로 해킹을 수행하는 일이 빈번하였고 서로 협업을 수행한다고 해도 느슨한 형태의 기술적 교류를 통해 서로의 기술적 지식을 공유하는 일이 대부분이었다. 그러나 스턱스넷과 같은 국가기반 공격자의 등장은 사용된 공격코드 및 공격행위 유사성 분석을 통해 방어자가 공격자의 형태 및 목적을 유추해 낼 수 있는 환경을 만들었다. 이는 마치 자연인으로서 개인이 어떤 행위를 할 것 인가를 예측하기는 매우 어려우나, 다수의 사용자가 유기적으로 연결되어 활동하는 조직의 진행방향은 그 조직의 구성 목적과 지난 성과를 통해 예측할 수 있는 것과 같다고 할 수 있다.

<참고서적>
1. ZETTER, Kim. Countdown to Zero Day: Stuxnet and the launch of the world's first digital weapon. Broadway books, 2014
2. LIPTON, Eric; SANGER, David E.; SHANE, Scott. The perfect weapon: How Russian cyberpower invaded the US. The New York Times, 2016, 13.
3. Kim Zetter (17 February 2011). "Cyberwar Issues Likely to Be Addressed Only After a Catastrophe". Wired. Retrieved 18 February 2011.
4.https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

필자. 김혁준 나루씨큐리티 대표
필자. 김혁준 나루씨큐리티 대표

[필자. 김혁준 (주)나루씨큐리티 창업자 및 대표이사 / joonkim@narusec.com / △경찰청 사이버범죄 전문가 그룹 자문위원 △정보통신망 침해사고 민관합동 조사단 전문가 △국방데이터센터(DIDC) 자문위원 △한국블록체인협회 보안분과위원(내부망보안, 보안아키택처) △2017/2018 IITP 정보보호 R&D 기획위원회 위원 △고려대학교 사이버국방학과 출강 △(전)사이버사령부 자문위원 △(전)한국인터넷 진흥원 침해사고대응센터 연구원 △알버타 주립대학교 Prediction in Interacting System 센터 연구원 △알버타 주립대학교 컴퓨터공학과 졸업 △2018년 사이버치안대상 감사장 수상 △2008 FIRST Security Best Practice 수상 △네트워크 보안모니터링 외 2권 번역 △사이버전 전장환경 및 네트워크 분석 관련 논문(6) △국제특허 1건을 포함한 3건 보유 8건 출원 △나루시큐리티는 타깃공격대응 전문기업으로 침해사고 원인규명을 위한 사이버킬체인 기반의 사고분석 및 재발방지를 위한 보안아키텍처 수립 방안을 제공하고 있다. 자체 개발한 내부망타깃공격 전문대응솔루션 '컨텍텀(ConnecTome)'과 침해사고대응훈련서비스를 국내외 공공기관 및 기업 등에 제공하고 있다.]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사