이스라엘은 어떻게 러시아 해커들이 미국 극비정보를 뒤지는 것을 포착할 수 있었을까

출처 : https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html

 

 

이것은 스파이가 스파이를 감시하고 그 스파이를 다시 또다른 스파이가 감시하는 바로 그런 경우중 하나로, 이스라엘 정보기관 장교는 러시아 정부 소속 해커가 전세계 컴퓨터들 중에 미국 정보기관 코드명을 가진 프로그램을 찾고 있는 것을 실시간으로 지켜보고 있었습니다.

 

2년 이상 전에 발견된 이러한 글로벌 범위로 시도된 러시아의 해킹을 가능하게 한 것은 급조된 검색 툴이었는데, 바로 20여개 이상 미국 정부기관에서 일하는 고위 공무원을 포함, 전세계에서 4억명 이상이 사용하는 러시아 기업 카스퍼스키 연구소가 제작한 백신프로그램이었습니다.

 

카스퍼스키 내부 내트워크를 해킹했던 이스라엘 정보기관 담당자는 미국에 러시아의 광범위한 침투에 대해 경고를 보냈는데, 예전에 보고된 사례가 없었던 관계로 정부 컴퓨터에서 카스퍼스키의 소프트웨어를 제거하도록 명령을 내리는 결정을 지난 달에야 이끌어낼 수 있었습니다.

 

해당 사안에 대해 브리핑 받은 다수의 사람들에게 설명된 러시아의 작전은, 카스퍼스키의 백신프로그램이 설치되어 있던 자신의 집 컴퓨터에 기밀 자료를 부적절하게 보관하고 있던 미국 NSA 직원으로부터 훔친 것으로 알려져 있습니다. 카스퍼스키의 소프트웨어를 민감한 정보를 수집할 수 있는 일종의 구글 검색툴과 같이 바꿈으로써, 러시아 해커들이 미국 여러 기관으로부터 끌어모은 추가 기밀자료가 무엇인지는 아직 공개되지 않았습니다.

 

이번 사건에 대해 설명해준 전현직 정부 고위 공무원들은 기밀엄수조항을 이유로 익명을 조건으로 이야기하였습니다.

 

널리 선호되고있는 보안 프로그램인 카스퍼스키 연구소의 제품들은 바이러스나 또다른 위험요소를 찾아내기 위해 컴퓨터내 저장된 모든 자료에 대한 접근권한을 요구합니다. 이 대중적인 백신 프로그램은 악성프로그램이나 멀웨어의 특징을 검색하고나서, 제거하거나 무효화시킨 다음 카스퍼스키로 리포트를 전송하게 됩니다. 이런 소프트웨어의 루틴화된 절차는 컴퓨터 자료를 조사하고 몰래 이용해서 그들이 관심을 가지는 것은 무엇이라도 검색하고 싶었던 러시아 정보부에겐 최상의 툴을 제공한 셈입니다.

 

NSA와 백악관은 이 기사에 대해 논평을 거부했습니다. 이스라엘 대사관 역시 거부했으며, 러시아 대사관은 논평 요청에 응답하지 않았습니다.

 

지난 주 월스트리트 저널에는 러시아 해커가 자택 컴퓨터에 카스퍼스키 소프트웨어를 사용중인 NSA 계약직원으로부터 NSA 기밀자료를 훔쳤다는 기사가 나왔습니다. 하지만, 이러한 해킹을 적발해낸 이스라엘 정보기관의 역할과 미국의 기밀자료를 보다 광범위하게 탐색하기 위한 카스퍼스키 소프트웨어 사용은 밝혀지지 않았습니다.

 

카스퍼스키 연구소는 러시아의 해킹에 대해 아는 것도 없고 관련되지도 않았다고 부인했습니다. "카스퍼스키 연구소는 사이버 스파이를 시도하는 전세계 어떤 정부에도 결코 도움을 준적도 도움을 주지도 않을 것이다." 라고 수요일 오후 회사는 성명을 발표했습니다. 또한 카스퍼스키 연구소는 "회사가 가능한 빨리 적기에 조사를 시작할 수 있도록 모든 관련되고 검증가능한 정보를 제공해주길 정중히 요청한다"라고도 밝혔습니다.

 

카스퍼스키가 관련된 이번 해킹은 미국 정보기관 기밀정보의 보안성에 대한 그저 가장 최근의 나쁜 뉴스일 뿐입니다. 멤버 다수가 온라인에서 활동하면서 스스로를 쉐도우 브로커라 지칭하는 현재까지도 정체불명인 그룹에 의해, 작년에 NSA 해킹툴이 유출되는 충격적 사건과 이번 사건이 연관되어 있는지 드러나지는 않았습니다. 또한 볼트7이란 이름으로 정기적으로 CIA 기밀문서를 공개하고 있는, CIA에서 위키리크스로 이어지는 일련의 동시다발적 해킹 데이터 유출과 명백히 연결된 것도 아닙니다.

 

수년동안, 카스퍼스키의 대중적인 백신프로그램이 러시아 정보기관에 백도어를 제공하고 있을지 모른다는 추측이 있어왔습니다. 연간 매출의 60%이상, 또는 6억 3300만 달러 중 3억 7400만 달러 이상이 미국과 서유럽의 고객에서 나오고 있습니다. 이 중에는 거의 20여곳의 미국 정부기관도 존재하는데, 미국무성, 국방성, 에너지성, 법무성, 재무성 그리고 육군, 해군과 공군도 포함되어 있습니다.

 

NSA는 NSA내 분석관들에게 카스퍼스키 백신프로그램 사용을 금지시켰는데, NSA가 외국을 대상으로 계획한 해킹작전에 백신프로그램을 활용해왔는데 잠재적국들이 같은 기술을 사용한다는 것을 알게 된 것이 큰 이유입니다.

 

“백신프로그램은 궁극의 백도어 프로그램인데, 수천 혹은 수백만 인터넷 유저들에 대해 파괴적 공격행위를 착수하는 것에서 부터 스파이 행위를 하는데에 이르기 까지 어떤 목적으로도 사용될 수 있는 일관되며 신뢰성 높은 원격 접속을 가능하게 해준다. ,”라고 블레이크 다르쉐 전 NSA 운용요원이자 에이리어1 시큐어리티 공동설립자는 밝혔습니다.

 

9월 13일, 국토안보성은 모든 연방 행정 기관들은 카스퍼스키 제품 사용을 금하며, 소프트웨어를 90일 내에 제거해야 한다는 명령을 내렸습니다. 국토안보성 장관대행인 일레인 C. 듀크는 카스퍼스키가 야기하고 있는 "정보 보안 위기"라고 표현하면서, 해당 회사의 백신프로그램 및 기타 소프트웨어는 "파일에 광범위한 접근을 제공하며" 연방정부 컴퓨터 시스템을 "위태롭게하는 적대적 사이버 행위에 이용당할 수 있다"고 말했습니다.

 

일부 관료들은 이 명령이 2014년 이스라엘이 카스퍼스키의 회사 컴퓨터 시스템에 대한 해킹에서 얻게된 정보에 대부분 기반하고 있어서 너무 늦었다고 여기고 있습니다. 여기엔 카스퍼스키의 소프트웨어가 해킹에서 작동한 방법에 대한 연구와 회사가 크레믈린과 관련된 용의가 있는지를 포함하여, 정보기관 사이에 수개월간의 논의가 뒤따랐습니다.

 

"러시아정부 단독에 의한 것이든 카스퍼스키와의 협업에 의한 것이든, 러시아 정부가 미국 국가안보에 직결되는 연방정보와 정보시스템을 위태롭게 하는데 엑세스를 이용할 수 있는 위험성을 카스퍼스키 제품이 제공한 셈이다"라고 국토안보성은 성명에서 밝혔습니다.

 

카스퍼스키 연구소는 자사의 엔지니어가 회사 네트워크 내의 비정상적 프로세스를 알려주는 새로운 탐지 툴을 테스트한 2015년 중반까지 자사 시스템에 대한 이스라엘의 해킹을 발견하지 못했습니다. 회사는 2015년 6월에 조사를 수행하고 발견 세부사항을 공지로 알렸습니다.

 

보고서에는 침입자에 관해 이스라엘의 이름이 없었지만, "두쿠"라고 알려진 이전 공격과 취약점을 뚫는 공격방식에서 유사함을 알렸는데, 연구자들은 악명높은 스턱스넷 사이버무기에 관련있는 동일한 국가들의 소행으로 보았습니다. 스턱스넷은 이란 나탄즈 핵시설에 성공적으로 침투하고 이란의 5세대 우라늄 원심분리기를 파괴하기 위하여 악성코드를 사용한 미국-이스라엘 합동 작전이었습니다.

 

카스퍼스키는 자사를 해킹한 해커들이 "두쿠"와 같은 알고리즘과 일부 유사한 코드를 사용하였다고 보고했지만, 많은 면에 있어서 보다 세련되어졌다고 기술했습니다. 그렇게, 회사 연구자들은 새로운 공격에 두쿠 2.0이라는 이름을 붙였고, 이스라엘의 주요타겟이 된 다른 피해자들에게도 알렸습니다.

 

카스퍼스키가 밝혀낸 타겟에는 이란 핵 협정 조항을 협상하기 위해 유엔 안전보장 이사회의 멤버간 비밀 회동을 위해 사용된 호텔과 회의장소도 있었는데, 이스라엘은 이 협상에서 제외되어 있었습니다. 몇몇 타겟은 미국내에 있었던 관계로, 스턱스넷과 같은 미국-이스라엘 합동 작전이 아닌 이스라엘 단독 작전이 제안되었습니다.

 

카스퍼스키의 연구자들은 해커들이 회사 컴퓨터에 깊숙히 파고 들어서 탐지되는 것을 피하기 위해 수개월 동안 잠복하고 있었다고 알렸습니다. 조사관들은 나중에 이스라엘 해커들이 카스퍼스키 시스템에 복수의 백도어를 심어두고서 비밀번호를 훔치고, 스크린샷을 찍고 이메일과 문서들을 닥치는대로 가져가기 위한 세련된 툴을 이용했다는 것을 발견했습니다.

 

2015년 6월 보고서에서, 카스퍼스키는 자사를 공격한 해커들이 주로 국가상대 해킹공격에 대한 회사의 연구물에, 특히 NSA의 위장회사 명칭인 "방정식 그룹"과 영국 정보기관인 비밀정보국 및 정보통신 본부(GCHQ) 내 해킹 그룹의 위장 명칭인 "레긴"활동에 대한 카스퍼스키의 연구물에 관심을 가진 것으로 보였다고 밝혔습니다.

 

NSA 해킹 건에 대해 보고를 받은 인물들에 의하면, 이스라엘 정보기관 장교는 NSA에 자신들이 카스퍼스키를 해킹하는 과정에서 러시아 정부 해커들이 미국 정부 기밀 프로그램에 대해 공격적으로 조사하고 러시아 정보 시스템으로 모든 자료를 끌어가기 위해 카스퍼스키의 액세스를 이용하고 있다는 증거를 제시했다고 합니다. 이스라엘측은 NSA측 상대부서에 크레믈린이 해킹작전에 관여하고 있다는 확실한 증거를 스크린샷과 또다른 문서형태로 제공하였다고 합니다.

 

카스퍼스키 연구소의 창립자인 유진 V. 카스퍼스키와 회사의 또다른 직원들이 그들의 제품을 사용한 해킹에 어느정도로 연루되어 있는지 명확하지 않습니다.  관련 전문가에 따르면 이론적으로 최소한 러시아 정보기관 해커들은 회사의 협력이나 정보가 없더라도 전세계적으로 보급된 소프트웨어와 탐지프로그램을 이용할 수 있었을 것이라고 합니다. 또다른 가능성은 러시아 정보기관 요원이 회사경연진이 모르는 사이에 회사내에 침투했을 지도 모른다는 것입니다.

 

하지만, 러시아 전문가에 따르면, 전직 KGB 요원 출신의 블라디미르 푸틴 대통령 집권하에 러시아 정보기관의 지원요청을 받는 기업 입장에서 지원해주는 것 이외에 선택의 여지가 없다고 느꼈을지도 모른다고 합니다. 거절은 곧 정부가 기업이나 대표에 대해 적대행위를 하도록 자초할지 모릅니다. 정보 기구에 다니고, 러시아 국방부에서 복무했던 카스퍼스키씨는 크레믈린의 요구를 거절하는 것에 대한 댓가에 관해서 제대로 알고 있을 겁니다.

 

스티븐 L. 홀, 전직 CIA 러시아 작전 책임자는 그가 근무중이었을 때에는 CIA내에서 카스퍼스키는 결코 사용된 적 없었지만, 다른 일부 연방기관에서는 사용되었다고 합니다. 2013년 즈음에 카스퍼스키의 임원은 "(미 정부기관이 카스퍼스키 프로그램을 잘 사용하지 않는 것에 대한) 대응책을 찾으려 노력하고 있었고, 미국 정부에 자사가 여타 다른 보안회사와 마찬가지일 뿐이라는 점을 납득시키려 애를 썼다" 라고 이야기했습니다.

 

홀씨는 카스퍼스키 제품을 구매하지 않았는데, "나는 카스퍼스키에 대해 심각히 염려했고, 러시아에서 근무했거나 방첩활동에 종사했던 다른 이들과 이러한 염려를 공유했다"라고 그는 말을 맺었습니다.