[신간] 인류의 종말은 사이버로부터 온다

사이버 무기 시장의 실체와 제로데이

[보안뉴스 원병철 기자] 알려지지 않은 소프트웨어의 보안 취약점을 가리키는 ‘제로데이(zero day)’는 국가의 기간 시설과 핵심 시스템에 침투할 수 있게 해주는 가공할 무기라는 점에서 사이버 세계의 ‘블러드 다이아몬드’로 불린다. 이 책은 지난 수십 년간 그늘에 숨어 있던 제로데이 거래의 암시장을 끈질기게 추적하고, 주요 관계자들의 입을 통해 왜 제로데이가 그토록 위험한지, 최악의 경우 인류의 종말을 불러올 수도 있는지 명징하게 설명한다.

▲인류의 종말은 사이버로부터 온다[자료=에이콘출판사]

지난 2월말 벌어진 러시아의 우크라이나 침공은 비단 물리적 환경에만 국한된 것은 아니었다. 아니, 그보다 앞서 사이버 환경에서 먼저 벌어졌다. 러시아의 사이버 군대는 우크라이나의 주요 기간 시설에 대한 전방위적 해킹을 시도했다. 우크라이나도 그에 맞서 러시아의 기간 시설에 대한 사이버 공격을 감행했다. 즉, 사이버 공방전은 실제 물리적 전쟁의 전조였던 셈이다.

뉴스에는 자주 언급되지 않지만 양국의 사이버 전쟁은 물리적 전쟁 못지않게 치열하다. 전쟁이 두 달째에 접어든 지난 4월 초, 우크라이나의 컴퓨터 긴급대응 팀(CERT-UA)과 슬로바키아의 사이버보안 회사인 ESET는 러시아의 샌드웜 해커 그룹이 인더스트로이어(Industroyer), 혹은 크래시 오버라이드(Crash Override)로 알려진 멀웨어의 한 변종을 사용해 우크라이나의 주요 고압 변전소들을 마비시키려 시도했다고 폭로했다.

러시아의 군사정보국(GRU) 산하 74455 부대로 알려진 샌드웜 해커들은 2015년과 2016년 우크라이나의 전력망을 해킹해 사상 초유의 피해를 입혔고, 그 내용은 이 책에 잘 묘사돼 있다. 러시아의 침공과 병행한 이번 공격은 전력 공급을 조절하는 변전소 장비들을 무력화하기 위한 것으로, 최악의 경우 2백만 가구 이상의 전력을 끊는 치명적 피해로 이어질 수 있었다.

그러나 우크라이나 측은, 이번 샌드웜 그룹의 공격을 성공적으로 저지했다고 밝혔다. 재난적 피해를 입은 2015년과 2016년의 뼈아픈 경험이 우크라이나의 사이버 전력을 한껏 강화하는 ‘쓴 약’ 구실을 한 것으로 보인다. 더욱이 러시아의 침공을 계기로 우크라이나는 전 세계 해커들의 지원도 받고 있다.

‘가디언’과 ‘와이어드’를 비롯한 여러 매체에 따르면 러시아는 우크라이나 침공 이후 사상 초유의 규모로 집중 해킹 공격을 받고 있다. 우크라이나의 자원봉사자들과 전 세계의 화이트햇 해커들로 구성된 ‘IT 군대’가, 우크라이나 정부가 매일 오전 5시(현지 시간), 비밀 메신저 프로그램인 텔레그램을 통해 러시아 측 해킹 표적을 전달받으면 해킹 공격에 돌입하는 것이다.

작가 니콜 펄로스는 ‘뉴욕타임스’ 기자로 10년간 사이버 보안, 디지털 스파이 활동 분야를 담당했다. 심층 취재를 통해 미국의 원자력 발전소와 전력망, 석유화학 공장에 대한 러시아 해커들의 침투 사실을 밝혀내는가 하면 소니 영화사와 은행, 병원에 대한 북한의 사이버 공격, 석유 회사와 은행 및 주요 인프라에 대한 이란 해커들의 공격 사실을 보도했다. 중국 인민해방군 산하의 해킹 부서를 폭로해 미 법무부가 군 해커들을 기소하도록 만들었으며, 해당 보도는 미국 비즈니스 편집자와 작가협회(Society of American Business Editors and Writers)로부터 ‘최고 비즈니스 상(Best in Business Award)’을 받았다. ‘멕시코가 상업용 스파이웨어를 사용해 자국민을 감시한다’는 탐사 보도는 퓰리처상 후보에도 올랐다.

이 책은 7년여에 걸쳐 3백 명이 넘는 사람들을 만나 인터뷰한 결과물이다. 이들은 사이버 무기의 거대한 암시장에 참여했거나 이를 추적했거나 그에 직접 영향을 받은 당사자들로 해커, 활동가, 반체제 인사, 학계 인사, 컴퓨터 과학자, 미국 및 해외 정부 관료들, 법의학 포렌식 수사관 및 용병 등 다양한 직업군에 걸쳐 있다.

니콜 펄로스는 “진실을 밝히기 위해 나름 최선을 다했지만 지금도 여전히 사이버 무기 거래는 두터운 베일에 싸여 있다”라면서, 그래서 이 책의 모든 내용이 정확하다고 주장하기는 어려우며, 어떤 내용이 잘못됐든 그 책임은 자신의 몫이라고 설명했다. 아울러 모쪼록 이 작업이 기밀과 은폐의 장막에 싸인 사이버 무기 시장의 실체를 부족하나마 조명해 더 많은 사람이 주목하기를, 그래서 긴요한 사회적 담론으로 발전하기를 기대한다고 덧붙였다. “사물인터넷이라는 디지털 쓰나미가 우리 사회를 돌이킬 수 없는 나락으로 빠뜨리기 전에 말이죠.”
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)