대형 해킹 사고를 연달아 겪은 호주 사회는 지금 사이버 보안 강화로 시끌시끌 하다. 그런 가운데 정부가 나서서 보복 공격을 할 것이라고 선언했다. 해커들을 해킹 기법으로 공격해 무력화시킨다는 개념은 오래 전부터 있었으나 도입된 적은 없다. 거기에는 이유가 있다.

[보안뉴스 문가용 기자] 최근 호주 정부가 대담하게 선언한 내용이 보안 업계에 충격을 던지고 있다. 호주의 조직들을 겨냥한 해킹 공격자들에게 보복 해킹 공격을 실시할 것이라는 내용이었기 때문이다. 호주 정부가 발표한 것을 그대로 실천한다면, 그것은 현재까지 사이버 위협에 대응하는 정부 기관들의 일반적인 자세에서 크게 벗어난 것이 될 것이다.


호주의 ‘보복 해킹’이 해킹 공격에 대한 방어에 얼마나 도움이 될 것인지는 아무도 예상할 수 없다. 또한 이 대담한 노선을 다른 국가도 채택할 것인지도 불투명하다. 무엇보다 호주의 단체들을 겨냥한 사이버 공격자들의 공격 인프라를 와해시키는 데 있어 호주 정부가 어디까지 법적 권한을 갖게 될 것인지도 쉽사리 평가하기 힘들다. 여러 모로 미래가 불투명한 선언이 아닐 수 없다.

법이 문제라면 새로 만들면 된다
보안 업체 IT하베스트(IT-Harvest)의 수석 분석가인 리차드 스티에논(Richard Stiennon)은 “대다수의 조직들이 사이버 공격을 효과적으로 방어하지 못하는 게 현실”이라고 짚으며 “정부가 어떤 식으로든 자국 기업들과 각종 단체들을 위해 나선다는 것 자체는 있을 수 있는 일”이라고 말한다. 그러면서 “보복 해킹이라는 게 합법적이지 않은 행위로 간주되는 경우가 많았는데, 그렇기 때문에 호주에서는 이를 합법화 하는 법안이 마련되고 통과될 것으로 예상합니다. 다만 호주의 이런 움직임이 크게 유행이 될 거라고 생각하지는 않습니다.”

최근 호주에서는 사이버 공격이 점점 거세지고 있다. 특히 거대 통신사인 옵터스(Optus)와 건강 보험 회사인 메디뱅크(Medibank)에서 발생한 두 건의 사이버 공격만으로 호주 전체 인구의 1/3이 개인정보를 도난당하기도 했다. 이것이 호주 사회에 큰 충격을 안겨준 것으로 알려져 있다. 게다가 메디뱅크가 공격자들이 요구한 돈을 내지 않기로 하자 공격자들은 개인정보를 공개하기 시작했다. 이는 규모만으로도 호주 역사상 최악의 공격 중 하나이며, 사회적으로 랜섬웨어 공격에 대한 대처가 마련되어야 한다는 목소리가 높아지는 계기가 됐다.

그렇게 해서 발표된 것이 정부 차원에서의 보복 해킹 선언이다. 물론 모든 사이버 공격에 대하여 정부가 복수의 칼을 겨누겠다고 한 건 아니다. 국가 안보에 위협이 되는 공격의 경우에만 정부가 나선다고 한다. 공격에 대한 충분한 첩보를 모은 뒤 범죄 단체와 그 리더들을 파악하여 세계 어디에 있든 이들을 체포하거나 공격 인프라를 망가트리겠다는 게 호주 정부의 의도다. 호주 내무부 장관의 말을 빌리자면 “나쁜 놈들을 적극적으로 사냥하겠다”는 의도로도 볼 수 있다.

이미 실행되고 있던 일
의도까지는 이해가 어렵지 않다. 하지만 다른 나라들이 여태까지 그런 의도가 없어서 보복 해킹 기조를 전면에 내세우지 않은 건 아니다. 현재도 세계 각지에서 국제적인 수사 공조와 민관 협조로 공격자들이 활용하는 인프라를 폐쇄시키는 성과가 자주 기록되고 있다. 이것이 현재 법 체계가 허락하는 최대한의 ‘나쁜 놈 사냥’이다. 호주가 보복 해킹을 실시할 때 이것보다 얼마나 더 나아갈 수 있을까? 예를 들어 사이버 공격이 러시아 영토로부터 시작된다면 보복 해킹을 천명한 호주 정부가 합법적인 선 안에서 뭘 할 수 있을까? 

스티에논은 “개인적인 의견이지만, 2010년 미국 정부가 사이버사령부라는 걸 신설하고 운영한 때부터 사실 가장 현실적인 형태의 보복 해킹이 실시되고 있다고 생각한다”고 말한다. “이스라엘과 네덜란드와 같은 국가들도 고급 해킹 공격자들을 추적해 그들을 무력화시킬 수 있다는 것을 보여준 사례들이 있죠. 보안 업계와 국제 공조 체계로 훼파한 공격 인프라는 손에 꼽을 수 없을 정도로 많고, 체포된 사람들도 그 수가 엄청납니다. 보복 해킹이 이것보다 더한 성과를 합법적으로 낼 수 있을까요?”

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 CTO 케이시 엘리스(Casey Ellis)는 “지난 몇 년 동안 사이버 공격자들이 의외로 해킹 공격과 인프라 차단에 취약하다는 것이 증명됐다”며 “호주 정부의 움직임 덕분에 보다 능동적으로 공격자들을 와해시키는 노력이 보편화 될 것”이라고 예상한다. “콘티(Conti)나 레빌(REvil)과 같은 악명 높은 단체도 보안 업계의 추적과 국제 공조로 결국 힘을 크게 잃게 됐죠. 지금은 그 잔당들이 남아서 공격을 이어가고는 있지만 예전 만큼 강력하지는 않습니다.”

엘리스 역시 호주 정부가 최근 발표한 내용이 사실 이미 기존의 국제 공조와 크게 다를 바 없다는 입장이다. “다른 정부 기관들도 다 해오던 것이죠. 다만 이번에 호주 정부가 강력한 언어까지 동원해 보복 해킹을 실시한다고 한 것은, 앞으로 국제 무대에서 사이버 공격 단체들을 잡아내고 와해시키는 노력을 배가시키겠다는 뜻으로 해석하고 있습니다. 또한 공격자들에게 일종의 경고 메시지와 같은 것이기도 합니다.”

호주 정부는 이전에도 사이버 공격자들을 겨냥한 보복 해킹을 합법화 하려고 법안을 마련하여 통과시키려 시도한 적이 있다. 가장 대표적인 사례가 2017년의 ‘능동적 사이버 방어 확실성 법안(ACDC)’이다. 하지만 이러한 시도들은 성공하지 못했고, 아직 보복 해킹을 합법화 하는 제도는 마련되지 않고 있다. 2021년에도 비슷한 시도가 있었으나 결국 통과되지 못했었다. 보복 해킹의 합법화가 잘 이뤄지지 않는 건, 엉뚱한 조직이나 단체가 피해를 입을 가능성이 낮지 않기 때문이다.

주의에 주의를 기울여야
그 동안 보복 해킹이 금기시된 건 여러 가지 이유에서다. 엉뚱한 사람이 피해를 입게 될 수 있다는 것도 그 중 하나다. 보안 업체 라피드7(Rapid7)의 수석 연구원인 에릭 갈린킨(Erick Galinkin)은 “실력 좋은 공격자들이라면 자신들의 공격 행위를 위장해 마치 다른 공격자의 행위인 것처럼 꾸밀 수 있다”고 설명한다. “또한 요즘에는 공격 인프라를 대여하는 사업도 다크웹에서 번창하고 있죠. 사이버 보안 사건에서 범인을 특정하는 건 대단히 어려운 문제이고, 풀리지 않는 난제입니다.”

실제로 공격자들은 피해자의 시스템을 발판 삼아 추가 공격을 연쇄적으로 이어가는 것을 즐긴다. 공격자의 것처럼 보이는 시스템이나 네트워크가 사실 또 다른 피해자의 것일 가능성이 있다는 것이다. 이런 흔적들을 거슬러 올라간다는 건 시간과 노력의 소모가 크고, 심지어 정확한 결과를 낼 것이라는 보장도 없다고 갈린킨은 강조한다.

법적 체계를 마련한다는 것도 쉽지 않다. 어디서부터 어디까지 국가의 보복 해킹을 허용할 것인지, 보복 해킹 혹은 능동적 방어라는 게 무엇인지 법리적으로 정의한다는 것부터 난이도가 높은 일이기 때문이다. 게다가 정의가 어떻게 내려지느냐에 따라 해석이 천차만별로 갈릴 수도 있고, 나라마다 사람마다 상이한 풀이와 적용을 하게 될 수도 있다. “그냥 해킹이든 보복 해킹이든 결국 원 주인의 허락을 받지 않고 시스템과 네트워크에 침투해 들어가는 건데요, 이걸 어떻게 불법적인 것과 합법적인 것으로 명확히 구분할 수 있을까요? 그 구분법에 대한 왜곡이 없을 수 있을까요?”

갈린킨은 “이런 모든 우려에도 불구하고 일반인을 대상으로 여론 조사를 해 보면 보복 해킹을 원한다는 의견이 꽤나 존재할 것”이라고 예측한다. “그 일반인들이 바로 유권자들이죠. 유권자들이 원한다면 언젠가 보복 해킹이 합법화 될 것입니다. 그게 호주에서는 지금일 수도 있죠. 사회 전체를 뒤흔들 만한 대형 해킹 사건이 연달아 터졌으니까요. 이런 때 보안 업계는 입법자들과 부지런히 만나 보복 해킹의 위험성을 알리고, 이를 안전하게 마련할 방법을 찾아내야 합니다.”

3줄 요약
1. 호주에서 연달아 큰 사이버 사고가 터지더니 정부가 보복 해킹 선언.
2. 국가들 간 수사 공조 등으로 해킹 단체 무력화시키던 것과 얼마나 어떻게 다를까?
3. 보복 해킹을 제도화 하기에는 아직까지 위험한 점들이 많음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>