언어 분석으로 하는 용의자 지목, 포렌식 분석과 다를 때 있어
포렌식으로 얻을 수 없는 정보 취득 가능...단독 사용은 아직 무리
[보안뉴스 국제부] 미국 국가안보국(NSA)이 워너크라이 랜섬웨어 공격의 배후로 북한을 지목했다. 이번 주 미국 인터넷침해사고대응지원센터(US-CERT)가 전 세계 디도스 봇넷의 배후로 북한을 지목한 데 잇따라 나온 발표라 그 배경이 주목된다.
미국 언론사 워싱턴포스트(WP)는 지난 수요일, 워너크라이 공격에 사용된 전략과 기술이 북한 정찰총국을 배후로 가리키고 있다는 NSA 관계자의 발언을 보도했다. 이 발언에서 NSA 관계자는 “보통 수준의 확신(moderate confidence)”을 갖고 이 같은 추정을 한다고 밝혔다.
[이미지 = iclickart]
NSA 관계자는 북한이 워너크라이 공격을 감행한 이유에 대해 돈을 벌기 위해서였던 것으로 보인다고 밝혔으며, 북한의 지원을 받은 공격자들이 워너크라이 버전을 두 가지로 만든 것으로 보인다고 결론 내렸다. NSA가 이런 분석을 발표한 시점은 이번 주 US-CERT가 전 세계 디도스 봇넷의 배후에 북한이 있다는 기술 분석 결과를 발표한 시점과 묘하게 맞물린다.
NSA와 US-CERT가 함께 북한을 저격함에 따라, 미국 정부가 북한 정부에 대해 어떤 식으로든 보복 조치에 나서기 위해 포석깔기에 들어갔다는 예측이 나온다. 북한은 사이버 영역에서의 여러 부정행위에 대해 각종 의혹을 사왔지만 확증이 없기 때문에 북한 소행으로 결론내리는 건 시기상조라는 의견도 나온다.
그 배경이 무엇이든, 미국은 북한에 대해 실질적인 조치를 취할 것으로 보인다. 이런 움직임은 미국 도널드 트럼프 행정부가 북한 미사일 문제와 관련해 평양을 좌시하지 않겠다고 밝힌 정책적 방향과 정확하게 일치한다.
워너크라이 출처에 대해 미국 정부가 내린 결론은 최소한 보안 업계 내에서는 어느 정도 지지 받은 것으로 보인다. 지난 목요일 미국은 워너크라이 사태를 통해 얻은 교훈에 대해 국회 청문회를 열었는데, 이 자리에서 시만텍의 한 경영인은 워너크라이가 북한의 작품이라고 일찍이 결론내린 자사의 판단을 다시 한 번 더 강조해 발언했다.
“라자루스의 공격과 다른 많은 종류의 공격 사이에 매우 높은 유사점이 보입니다.” 감독 소위원회 및 연구 기술 소위원회가 합동으로 개최한 이번 청문회 증언에서 휴즈 톰슨(Hugh Thompson)은 이 같이 밝혔다. “워너크라이 멀웨어, 워너크라이 멀웨어 내에서 문자열의 재사용, 워너크라이 멀웨어에 의해 인터넷에 배포된 명령 및 제어 인프라의 재사용 등을 미루어봤을 때, 저희 연구원들은 워너크라이가 라자루스 그룹과 강한 연결성을 보인다고 판단하게 됐습니다.” 톰슨의 말이다.
미국 연방수사국(FBI)은 라자루스를 북한 해커그룹이라고 말한 바 있다. 톰슨은 소니(Sony)에 대한 공격 뿐만 아니라 작년 방글라데시 은행에서 8천1백만 달러가 넘는 자금을 훔쳐낸 사이버 강도 사건도 이들의 소행으로 보인다고 덧붙였다.
어떤 보안 전문가들은 이런 연관성에 대해 의구심을 갖고 있으며, 북한 소행으로 결론내릴 수 있을 만큼의 충분한 증거는 아직 없다고 말하는 상황이다. “워너크라이 출처를 추측하는 건 너무 불명확한 일입니다.” 보안 전문업체 크립토스 로직(Kryptos Logic)의 CEO 살림 나이노(Salim Neino)는 같은 청문회에서 이렇게 증언했다. 워너크라이 공격에 사용된 코드 조각 중 몇 개는 국가의 지원을 받은 공격자들이 개입됐다는 걸 보여주긴 한다. 나이노에 따르면, 워너크라이는 전 세계적으로 최대 2백만 대의 시스템을 침해한 것으로 추정된다.
“하지만 누구나 이런 수준의 공격을 만들어낼 수 있고” 북한의 소행인 것처럼 꾸밀 수 있다고 나이노는 말했다. “특정하게 보이도록 프로그램을 ‘포토샵’한 것으로 비유하고 싶네요. 아니면, 정말로 원래 그렇게 만들어져 있던 것일 수도 있겠고요. 제가 말하고 싶은 건, 이런 공격에선 특정인을 지목하기가 매우 어렵다는 겁니다.” 나이노는 강조했다.
나이노와 같은 예외가 있긴 하지만 이렇게 미국을 필두로 전 세계가 북한을 범인으로 보고 있을 때, 홀연히 한 업체가 등장했다. 보안 전문업체인 플래시포인트(FlashPoint)였다. 이들은 워너크라이 공격에 사용된 28개의 협박 편지를 언어학적으로 분석해 워너크라이의 제작자가 중국인이거나 중국어를 할 줄 아는 사람이라고 주장하고 나섰다. 물론 중국어를 잘 하는 북한인일 가능성도 존재하지만, ‘언어’라는 새로운 증거가 워너크라이 사태를 새로운 국면으로 접어들게 하는 듯도 했다. 이 ‘언어 분석’이라는 것, 사이버 보안에서 어떤 가치를 가지고 있을까?
사이버 보안 사고인데 자연어를 분석한다?
멀웨어 공격. 데이터 도난. 랜섬웨어. 이 모든 공격의 공통점은 무엇일까? ‘누가 그랬을까?’가 가장 큰 궁금증이라는 것이다. 워너크라이라는 랜섬웨어 때문에 전 세계가 마비될 뻔했대, 라고 하면 ‘응, 그래서 누가 그랬는데?’라고 물어온다. 나야나가 결국 랜섬웨어 범인들과 협상했대, 라고 해도 ‘(횡재한) 그 범인들은 누구야?’라고 묻는다. 셰도우 브로커스(Shadow Brokers)가 아무리 별별 마케팅 수단을 동원해도 ‘누군데?’가 누구나의 마음속에 있다.
그래서 최근 동원되기 시작한 많은 방법들 중 하나가 언어 분석이다. 워너크라이 때도 이러한 분석 기법이 동원됐고, 보안 업체 플래시포인트(Flashpoint)는 “워너크라이와 중국어 구사자가 연관되어 있다”고 발표하기도 했다. 이 발표가 있기 전까지 라자루스(Lazarus)라는 북한 해킹 그룹이 가장 큰 의심을 받고 있었다.
시간을 조금 더 거슬러 올라가면 셰도우 브로커스가 처음 등장했을 때도 언어 분석 기법이 사용됐다. 그러면서 영어를 모국어로 사용하는 자가 영어 못하는 척 하는 거라는 분석 결과가 보안 업계에 돌아다녔다. 그보다 조금 전인 민주당 해킹 사건 당시 범인으로 지목된 구시퍼 2.0(Guccifer 2.0)에게도 언어 분석이 적용됐고, 루마니아인이라는 주장이 제기됐다. 그러나 구시퍼는 러시아인이었다.
보안 업체 타이아 글로벌(Taia Global)은 2014년 말을 화려하게 장식한 소니 해킹 사태 때도 언어 분석 기법이 도입되었다고 말한다. “당시 언어 분석 결과는 ‘러시아인’이었습니다만 미국 정부는 북한을 지목했죠. 누군가 한 명은 잘못된 것입니다. 아니면 중간에 누군가 결과를 바꿀 만큼 의도적인 개입을 했거나요.”
일반 범죄에서도 그렇지만 사이버 보안 사건에서 범인을 찾는다는 건 굉장히 어려운 일이다. 이 어려움을 해소하기 위해 동원된 언어 분석 기법은 혼란만 가중시키는 것으로 보인다. 아니, 언어 분석 결과라는 게 단순 참고 자료 이상 취급받아서는 안 되는 것이 분명하다. 정말 아무런 단서도 없는 사건에서 한 가지 가능성을 제시하는 것 이상의 의미를 부여해서는 안 된다는 것이다. “아니면 윤곽이 잡혀가는 사건의 보충자료 정도가 될 수도 있겠지요.” 아예 쓸모가 없는 건 아니지만, 단독적으로 큰 의미를 갖긴 힘든 자료라는 것이다.
소니 해킹 사태 때와 셰도우 브로커스 사건 때 언어 분석에 참여했던 쉴로모 아르가몬(Shlomo Argamon) 일리노이즈 기술대학 교수 역시 “언어 분석 결과는 다른 포렌식 수사 자료들과 비교해봐야 한다”고 강조한다. “다른 수사 자료들에 비해 혼자만 툭 튄다거나 전혀 엉뚱한 결과가 나온다면, 언어 분석 결과보다는 포렌식 자료를 믿는 편이 더 정확합니다.”
분석 방식 조금 더 이해하기
사이버 보안 사건의 분석 기법은 크게 두 가지로 나뉜다. 소스코드를 분석하거나, 그밖의 텍스트를 분석하거나. 첫 번째 유형인 소스코드를 분석할 때는 코딩된 스타일과 패턴을 위주로 파악해 다른 코드 샘플들과 비교해보는 것이 주를 이룬다. 실제로 포렌식 전문가들 대부분 이 방법을 통해 용의자를 좁혀나간다. 그러나 이는 ‘언어 분석’이라고 볼 수 없다. 언어 분석은 두 번째 유형인 ‘텍스트 분석’ 단계에서 동원된다.
텍스트를 분석한다는 건 코드 내에 발견된 인간의 ‘자연어’를 분석한다는 것이다. 예를 들면 오류 메시지나 대화 상자, 피해자에게 전달되는 메시지 내용이 여기에 속한다. 사이버 공격이 PC나 기계들을 통해 발생하긴 하지만 결국엔 사람을 노리는 것이기 때문에 의외로 많은 ‘자연어’ 요소들이 숨어 있다. 플래시포인트가 워너크라이를 분석할 때는 협박 편지가 주로 활용됐다. 아르가몬 교수는 셰도우 브로커스의 각종 SNS 메시지를 분석했다. 구시퍼 2.0의 경우 머더보드라는 매체의 인터뷰 기사가 분석 자료가 되었다.
이처럼 모든 사이버 공격에는 반드시 자연어로 된 요소가 존재하는 법인데, 아르가몬 교수는 “정확도를 충분히 보장할 수 있을 만큼 샘플이 많지 않다는 걸 주목해야 한다”고 설명한다. “어떤 주제든 어떤 기법이든, 분석 결과가 정확하려면 당연히 샘플이 많아야 합니다. 사이버 범죄 사건에서는 이러한 언어학적 샘플이 항상 풍부하지는 않습니다.”
그런 면에서 랜섬웨어 공격은 언어 분석학적으로 접근하기가 용이한 공격 유형이다. 피해자와 공격자의 소통이 반드시 이루어져야만 성립되며, 이 과정에서 공격자가 많은 ‘자연어’를 쏟아내기 때문이다. 그것도 피해자가 ‘잘 이해할 수 있도록’ 풀어 써야 한다. 반면 스피어피싱 공격의 경우 ‘최대한 정상 이메일’처럼 보이기 위해 정제된 ‘용어’를 사용하기 때문에 언어 분석이 쉽지 않다고 한다.
당연하지만, 언어 분석의 시작은 ‘모든 텍스트를 수집하는 것’부터 시작한다. 이 부분이 굉장히 중요하다. 일정 부분이 실수든 의도적이든 빠지게 된다면 결과가 크게 달라질 수 있기 때문이다. 그러므로 아무리 하찮아 보이는 부분이라도 몽땅 수집해야 한다. 여기에는 공격자들이 전송한 모든 메시지, 모든 트위터 등 SNS 텍스트, 기사에 인용된 내용들뿐만 아니라 ‘범인이라고 생각되는 자’들이 다크넷 포럼 등에 남긴 포스트들도 전부 포함되어야 한다. “그럼에도 양은 얼마 되지 않습니다. 소니 해킹 사건 때 인터넷 공간 전체에서 긁어모은 텍스트가 겨우 2000자 채 되지 않았습니다.”
그런 후에 문법과 철자 오류, 문장부호 사용 오류, 시제의 오용, 단어 및 용어의 부적절한 용례를 파악해낸다. 여기에 힌트들이 숨어 있을 가능성이 높기 때문이다. 영어가 모국어인 사람과 그렇지 않은 사람이 가장 큰 편차를 나타내는 부분은 바로 ‘a’와 ‘the’ 혹은 ‘to’, ‘should’, ‘must’, ‘will’의 사용법이라고 한다. 이 다섯 개 표현들만 유심히 보면 일단 영어가 모국어인가 아닌가를 파악할 수 있다. 그 밖에 –ing을 제대로 사용하는 부분에서도 모국어가 영어인 사람과 그렇지 않은 사람이 차이를 보인다.
이런 분석들이 이뤄지고 나서는 ‘후보 언어’를 다섯 가지 정도로 추려낼 수 있다. 그런 후 문법적인 오류들을 후보 언어권 사용자들이 흔히 저지르는 실수들과 비교해 가장 유사한 언어 한 가지를 골라낸다. 예를 들어 the가 있어야 할 곳에 없다면, 러시아어나 슬라브어권 사람일 가능성이 높다.
아르가몬 교수는 “구시퍼 2.0은 머더보드와의 인터뷰에서 the를 거의 항상 빠트렸다”고 설명하며 “애초에 러시아인일 가능성이 높아 보였는데 루마니아인이라는 의혹이 돌아서 꽤나 이상했다”고 말한다. “루마니아어에도 a와 the 같은 요소가 있습니다.” 그러므로 오류가 많으면 많을수록 언어 분석 과정이 더 꼼꼼해지고 결과가 더 정확해질 가능성이 높다. 소니 해킹 사건의 경우 주요 ‘힌트’가 되었던 요소가 25개에 그쳤다고 한다.
확정짓기 금지
하지만 위의 시나리오는 ‘이론’에 불과하다. 현장에서는 저런 이론들이 곧바로 통용되지 않는다. 왜냐하면 대부분의 사람들이 한 가지 이상의 언어를 구사하기 때문이며, 숙련도도 다 제각각이기 때문이다. 예를 들어 만다린어(중국 표준어)를 모국어로 삼고 있는 해커이지만 러시아인 친구와 함께 러시아어로 해킹 기술을 배운 사람이라면 두 가지 언어적 특성이 엉켜서 나타날 수 있다. 그런데 그 인물이 자취를 감추기 위해 영어까지 배웠다면? 영어 문법 오류가 제일 많고, 그 다음이 러시아어, 그 다음이 만다린어일 것이다. 그러나 이에 대해 아무것도 모르는 채 분석을 진행해야 하는 입장에서는 혼란스러울 수밖에 없다.
그러니 상황 정보가 매우 중요해진다. 국제 정세나 피해 기업의 사업 관계 등 다양한 요소를 검토해 러시아의 누군가가 공격할 가능성이 있는지, 중국에서 어떤 공격이 유행하고 있는지를 알아내면 언어 분석의 가닥이 잡힐 수도 있다. 즉, 언어 분석 결과로 범인을 특정 짓는 건 언어 분석이 이뤄지는 과정과, 다른 상황 정보에 기댈 수밖에 없는 특성을 깡그리 무시하는 것이다. 아르가몬 교수는 “언어 분석은 혼자서 대단한 의미를 끌어낼 수 없다”고 강조하며 “사건 수사를 위한 보조 장치임을 기억해야 한다”고 설명했다.
워너크라이 공격을 파헤친 플래시포인트는 총 28개의 협박 편지를 수집해 분석했다. 영어로 작성된 편지는 한 개였고, 나머지 27개는 27가지 언어로 쓰였다. 결과는 ‘원래 중국어를 사용하는 범인이 27개 외국어를 사용한 것’이었다. 왜? 협박 편지들 중 두 개는 버전이 다른 중국어로 작성되었으며, 그 어떤 번역 과정도 거치지 않은 것처럼 보였기 때문이다. “불가리아어, 불어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스페인어, 베트남어 등에서는 영어 원본에서 번역한 것이었는데 말이죠.”
게다가 중국어로 된 협박 편지에만 구어 표현들이 있다는 것도 특이했다고 한다. 다른 언어로 된 편지에는 없는 것들이었다. 작성자가 중국어에 매우 익숙하다는 게 드러나는 지점이었다. 무수한 번역본을 파생시킨 영어본의 경우, 영어가 매우 능숙한 자인 것으로 나타났다. 철자와 대소문자 구분이 정확했기 때문이다. 하지만 couldn’t과 can’t의 용법에서 오류가 발견되었기 때문에 ‘모국어’ 수준은 아닌 것으로 결론이 났다. 과거 시제가 없는 중국어가 다시 유력한 후보로 떠오르기도 했다. 한편, 한국어로 된 협박 편지는 특히나 오류가 많았다.
그래서 “중국어 사용자가 범인”이라고 발표는 했지만, 플래시포인트는 “확정적으로 발표한 건 아니”라고 한다. 이런 언어 분석 기법은 외국어 공부를 조금 해본 사람이면 어렴풋이라도 인지하고 있는 것이기 때문에 일부러 이런 오류들을 넣는 경우들도 존재한다. 워너크라이의 한국어 협박 편지가 특히 오류투성이었던 이유에 대해 ‘북한인인 라자루스가 위장을 목적으로 일부러 그렇게 작성했기 때문’이라는 설명을 하는 이들도 꽤나 많았다.
플래시포인트의 언어 분석가들은 내부적으로 “영어 잘 하는 중국인”이 워너크라이의 범인임을 확신하고 있지만, 대외적으로는 분명하게 주장하고 있지는 않다. 어차피 “영어 잘 하는 중국인”이란 묘사에 해당하는 사람들이 너무나 많아서 범인을 특정하는 데에 아무런 도움이 되지 못한다. “이런 근거와 결과만 가지고는 중국 정부에게 뭐라 말하기가 민망하죠. 특정 국가나 단체를 지목할 수도 없고, 그래서도 안 되는 게 저희 언어 분석 결과입니다.”
게다가 워너크라이의 배후 세력으로 가장 유력하게 꼽히는 북한의 경우, 중국어와 영어를 동시에 잘할 가능성이 높다. “북한의 해킹 그룹에 대해 우리가 모르는 정보가 너무나 많습니다. 지리적으로나 정치적으로 가까운 중국인 해커가 용병처럼 고용됐을 수도 있고, 아니면 북한인들 중 중국과 접경지역에 사는 이들이 워낙 중국어에 능통할 수도 있죠. 게다가 이 해커부대원들이 사관학교와 같은 과정을 밟는다면 영어도 충분히 교육받을 수 있고요. 중국어를 모국어로 삼고 있는 사람이라고 해서 중국만을 말하는 건 아닙니다.”
그렇다면 사이버 보안 사건에서 언어 분석이 갖는 의미는?
언어 분석과 범인 지목 사이의 간극을 넓히는 또 다른 요소로는 ‘악성 행위자들 간의 끈끈한 관계’가 있다. 사이버 범죄는 이제 전 세계적인 산업이자 시장이 되었다. 각종 협력 관계가 물밑에서 맺어지고 있는데, 여기에는 국경이나 민족의 제약이 없다. 한 해킹 그룹이 단일 언어권 인물들로 구성되지 않고, 다양한 번역 서비스와 용병 사업가들이 존재한다. 워너크라이의 협박 편지를 쓴 인물과 랜섬웨어를 만든 인물과 그걸 퍼트린 인물이 전부 다른 언어권 사람일 가능성도 충분히 있는 것이다.
그럼에도 언어 분석은 효용가치가 충분하다. 플래시포인트의 연구 책임자인 레로이 테렐론지(Leroy Terrelonge)는 “언어란 개인의 특성을 반영하기에 분석하면 범인의 정체성과 사고방식, 공격 동기 등에 대한 또 다른 차원의 정보가 나올 수 있다”고 설명한다. “예를 들어 스페인어를 구사하는 공격자가 ‘주유소’를 표현하기 위해 grifo라고 했다면, 단순히 스페인어 구사자라고 결론을 내릴 수도 있지만, 한 발 더 나아가 페루 사람이라고 지목할 수도 있습니다. 왜냐하면 grifo는 페루에서만 사용되는 단어거든요.” 언어권에 따라 남자만 사용하는 단어도 있고, 특정 나이대의 사람들만 사용하는 표현도 있어, 포렌식만으로는 알기 힘든 정보들이 나오기도 한다.
또한, 언어 분석을 통해 “의도적인 실수”를 간파하는 것도 가능하다. 셰도우 브로커스의 경우 영어를 정말 못하는 것처럼 보이지만 언어 분석가들은 “영어 잘 하는 사람이 일부러 엉망진창으로 언어를 구사한 것”이라고 보고 있다. 그게 사실이라면 의도는 하나, 수사기관을 따돌리기 위한 것이다. “이렇게 수사 회피 기술을 간파할 수 있다는 것도 언어 분석의 가치죠. 결국 수사의 다양한 기법과 맞물렸을 때, 혹은 수사의 다양한 기법의 하나로 취급받을 때 언어 분석 기술은 중요한 가치를 갖습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 오다인 기자(boan2@boannews.com)]
포렌식으로 얻을 수 없는 정보 취득 가능...단독 사용은 아직 무리
[보안뉴스 국제부] 미국 국가안보국(NSA)이 워너크라이 랜섬웨어 공격의 배후로 북한을 지목했다. 이번 주 미국 인터넷침해사고대응지원센터(US-CERT)가 전 세계 디도스 봇넷의 배후로 북한을 지목한 데 잇따라 나온 발표라 그 배경이 주목된다.
미국 언론사 워싱턴포스트(WP)는 지난 수요일, 워너크라이 공격에 사용된 전략과 기술이 북한 정찰총국을 배후로 가리키고 있다는 NSA 관계자의 발언을 보도했다. 이 발언에서 NSA 관계자는 “보통 수준의 확신(moderate confidence)”을 갖고 이 같은 추정을 한다고 밝혔다.
[이미지 = iclickart]
NSA 관계자는 북한이 워너크라이 공격을 감행한 이유에 대해 돈을 벌기 위해서였던 것으로 보인다고 밝혔으며, 북한의 지원을 받은 공격자들이 워너크라이 버전을 두 가지로 만든 것으로 보인다고 결론 내렸다. NSA가 이런 분석을 발표한 시점은 이번 주 US-CERT가 전 세계 디도스 봇넷의 배후에 북한이 있다는 기술 분석 결과를 발표한 시점과 묘하게 맞물린다.
NSA와 US-CERT가 함께 북한을 저격함에 따라, 미국 정부가 북한 정부에 대해 어떤 식으로든 보복 조치에 나서기 위해 포석깔기에 들어갔다는 예측이 나온다. 북한은 사이버 영역에서의 여러 부정행위에 대해 각종 의혹을 사왔지만 확증이 없기 때문에 북한 소행으로 결론내리는 건 시기상조라는 의견도 나온다.
그 배경이 무엇이든, 미국은 북한에 대해 실질적인 조치를 취할 것으로 보인다. 이런 움직임은 미국 도널드 트럼프 행정부가 북한 미사일 문제와 관련해 평양을 좌시하지 않겠다고 밝힌 정책적 방향과 정확하게 일치한다.
워너크라이 출처에 대해 미국 정부가 내린 결론은 최소한 보안 업계 내에서는 어느 정도 지지 받은 것으로 보인다. 지난 목요일 미국은 워너크라이 사태를 통해 얻은 교훈에 대해 국회 청문회를 열었는데, 이 자리에서 시만텍의 한 경영인은 워너크라이가 북한의 작품이라고 일찍이 결론내린 자사의 판단을 다시 한 번 더 강조해 발언했다.
“라자루스의 공격과 다른 많은 종류의 공격 사이에 매우 높은 유사점이 보입니다.” 감독 소위원회 및 연구 기술 소위원회가 합동으로 개최한 이번 청문회 증언에서 휴즈 톰슨(Hugh Thompson)은 이 같이 밝혔다. “워너크라이 멀웨어, 워너크라이 멀웨어 내에서 문자열의 재사용, 워너크라이 멀웨어에 의해 인터넷에 배포된 명령 및 제어 인프라의 재사용 등을 미루어봤을 때, 저희 연구원들은 워너크라이가 라자루스 그룹과 강한 연결성을 보인다고 판단하게 됐습니다.” 톰슨의 말이다.
미국 연방수사국(FBI)은 라자루스를 북한 해커그룹이라고 말한 바 있다. 톰슨은 소니(Sony)에 대한 공격 뿐만 아니라 작년 방글라데시 은행에서 8천1백만 달러가 넘는 자금을 훔쳐낸 사이버 강도 사건도 이들의 소행으로 보인다고 덧붙였다.
어떤 보안 전문가들은 이런 연관성에 대해 의구심을 갖고 있으며, 북한 소행으로 결론내릴 수 있을 만큼의 충분한 증거는 아직 없다고 말하는 상황이다. “워너크라이 출처를 추측하는 건 너무 불명확한 일입니다.” 보안 전문업체 크립토스 로직(Kryptos Logic)의 CEO 살림 나이노(Salim Neino)는 같은 청문회에서 이렇게 증언했다. 워너크라이 공격에 사용된 코드 조각 중 몇 개는 국가의 지원을 받은 공격자들이 개입됐다는 걸 보여주긴 한다. 나이노에 따르면, 워너크라이는 전 세계적으로 최대 2백만 대의 시스템을 침해한 것으로 추정된다.
“하지만 누구나 이런 수준의 공격을 만들어낼 수 있고” 북한의 소행인 것처럼 꾸밀 수 있다고 나이노는 말했다. “특정하게 보이도록 프로그램을 ‘포토샵’한 것으로 비유하고 싶네요. 아니면, 정말로 원래 그렇게 만들어져 있던 것일 수도 있겠고요. 제가 말하고 싶은 건, 이런 공격에선 특정인을 지목하기가 매우 어렵다는 겁니다.” 나이노는 강조했다.
나이노와 같은 예외가 있긴 하지만 이렇게 미국을 필두로 전 세계가 북한을 범인으로 보고 있을 때, 홀연히 한 업체가 등장했다. 보안 전문업체인 플래시포인트(FlashPoint)였다. 이들은 워너크라이 공격에 사용된 28개의 협박 편지를 언어학적으로 분석해 워너크라이의 제작자가 중국인이거나 중국어를 할 줄 아는 사람이라고 주장하고 나섰다. 물론 중국어를 잘 하는 북한인일 가능성도 존재하지만, ‘언어’라는 새로운 증거가 워너크라이 사태를 새로운 국면으로 접어들게 하는 듯도 했다. 이 ‘언어 분석’이라는 것, 사이버 보안에서 어떤 가치를 가지고 있을까?
사이버 보안 사고인데 자연어를 분석한다?
멀웨어 공격. 데이터 도난. 랜섬웨어. 이 모든 공격의 공통점은 무엇일까? ‘누가 그랬을까?’가 가장 큰 궁금증이라는 것이다. 워너크라이라는 랜섬웨어 때문에 전 세계가 마비될 뻔했대, 라고 하면 ‘응, 그래서 누가 그랬는데?’라고 물어온다. 나야나가 결국 랜섬웨어 범인들과 협상했대, 라고 해도 ‘(횡재한) 그 범인들은 누구야?’라고 묻는다. 셰도우 브로커스(Shadow Brokers)가 아무리 별별 마케팅 수단을 동원해도 ‘누군데?’가 누구나의 마음속에 있다.
그래서 최근 동원되기 시작한 많은 방법들 중 하나가 언어 분석이다. 워너크라이 때도 이러한 분석 기법이 동원됐고, 보안 업체 플래시포인트(Flashpoint)는 “워너크라이와 중국어 구사자가 연관되어 있다”고 발표하기도 했다. 이 발표가 있기 전까지 라자루스(Lazarus)라는 북한 해킹 그룹이 가장 큰 의심을 받고 있었다.
시간을 조금 더 거슬러 올라가면 셰도우 브로커스가 처음 등장했을 때도 언어 분석 기법이 사용됐다. 그러면서 영어를 모국어로 사용하는 자가 영어 못하는 척 하는 거라는 분석 결과가 보안 업계에 돌아다녔다. 그보다 조금 전인 민주당 해킹 사건 당시 범인으로 지목된 구시퍼 2.0(Guccifer 2.0)에게도 언어 분석이 적용됐고, 루마니아인이라는 주장이 제기됐다. 그러나 구시퍼는 러시아인이었다.
보안 업체 타이아 글로벌(Taia Global)은 2014년 말을 화려하게 장식한 소니 해킹 사태 때도 언어 분석 기법이 도입되었다고 말한다. “당시 언어 분석 결과는 ‘러시아인’이었습니다만 미국 정부는 북한을 지목했죠. 누군가 한 명은 잘못된 것입니다. 아니면 중간에 누군가 결과를 바꿀 만큼 의도적인 개입을 했거나요.”
일반 범죄에서도 그렇지만 사이버 보안 사건에서 범인을 찾는다는 건 굉장히 어려운 일이다. 이 어려움을 해소하기 위해 동원된 언어 분석 기법은 혼란만 가중시키는 것으로 보인다. 아니, 언어 분석 결과라는 게 단순 참고 자료 이상 취급받아서는 안 되는 것이 분명하다. 정말 아무런 단서도 없는 사건에서 한 가지 가능성을 제시하는 것 이상의 의미를 부여해서는 안 된다는 것이다. “아니면 윤곽이 잡혀가는 사건의 보충자료 정도가 될 수도 있겠지요.” 아예 쓸모가 없는 건 아니지만, 단독적으로 큰 의미를 갖긴 힘든 자료라는 것이다.
소니 해킹 사태 때와 셰도우 브로커스 사건 때 언어 분석에 참여했던 쉴로모 아르가몬(Shlomo Argamon) 일리노이즈 기술대학 교수 역시 “언어 분석 결과는 다른 포렌식 수사 자료들과 비교해봐야 한다”고 강조한다. “다른 수사 자료들에 비해 혼자만 툭 튄다거나 전혀 엉뚱한 결과가 나온다면, 언어 분석 결과보다는 포렌식 자료를 믿는 편이 더 정확합니다.”
분석 방식 조금 더 이해하기
사이버 보안 사건의 분석 기법은 크게 두 가지로 나뉜다. 소스코드를 분석하거나, 그밖의 텍스트를 분석하거나. 첫 번째 유형인 소스코드를 분석할 때는 코딩된 스타일과 패턴을 위주로 파악해 다른 코드 샘플들과 비교해보는 것이 주를 이룬다. 실제로 포렌식 전문가들 대부분 이 방법을 통해 용의자를 좁혀나간다. 그러나 이는 ‘언어 분석’이라고 볼 수 없다. 언어 분석은 두 번째 유형인 ‘텍스트 분석’ 단계에서 동원된다.
텍스트를 분석한다는 건 코드 내에 발견된 인간의 ‘자연어’를 분석한다는 것이다. 예를 들면 오류 메시지나 대화 상자, 피해자에게 전달되는 메시지 내용이 여기에 속한다. 사이버 공격이 PC나 기계들을 통해 발생하긴 하지만 결국엔 사람을 노리는 것이기 때문에 의외로 많은 ‘자연어’ 요소들이 숨어 있다. 플래시포인트가 워너크라이를 분석할 때는 협박 편지가 주로 활용됐다. 아르가몬 교수는 셰도우 브로커스의 각종 SNS 메시지를 분석했다. 구시퍼 2.0의 경우 머더보드라는 매체의 인터뷰 기사가 분석 자료가 되었다.
이처럼 모든 사이버 공격에는 반드시 자연어로 된 요소가 존재하는 법인데, 아르가몬 교수는 “정확도를 충분히 보장할 수 있을 만큼 샘플이 많지 않다는 걸 주목해야 한다”고 설명한다. “어떤 주제든 어떤 기법이든, 분석 결과가 정확하려면 당연히 샘플이 많아야 합니다. 사이버 범죄 사건에서는 이러한 언어학적 샘플이 항상 풍부하지는 않습니다.”
그런 면에서 랜섬웨어 공격은 언어 분석학적으로 접근하기가 용이한 공격 유형이다. 피해자와 공격자의 소통이 반드시 이루어져야만 성립되며, 이 과정에서 공격자가 많은 ‘자연어’를 쏟아내기 때문이다. 그것도 피해자가 ‘잘 이해할 수 있도록’ 풀어 써야 한다. 반면 스피어피싱 공격의 경우 ‘최대한 정상 이메일’처럼 보이기 위해 정제된 ‘용어’를 사용하기 때문에 언어 분석이 쉽지 않다고 한다.
당연하지만, 언어 분석의 시작은 ‘모든 텍스트를 수집하는 것’부터 시작한다. 이 부분이 굉장히 중요하다. 일정 부분이 실수든 의도적이든 빠지게 된다면 결과가 크게 달라질 수 있기 때문이다. 그러므로 아무리 하찮아 보이는 부분이라도 몽땅 수집해야 한다. 여기에는 공격자들이 전송한 모든 메시지, 모든 트위터 등 SNS 텍스트, 기사에 인용된 내용들뿐만 아니라 ‘범인이라고 생각되는 자’들이 다크넷 포럼 등에 남긴 포스트들도 전부 포함되어야 한다. “그럼에도 양은 얼마 되지 않습니다. 소니 해킹 사건 때 인터넷 공간 전체에서 긁어모은 텍스트가 겨우 2000자 채 되지 않았습니다.”
그런 후에 문법과 철자 오류, 문장부호 사용 오류, 시제의 오용, 단어 및 용어의 부적절한 용례를 파악해낸다. 여기에 힌트들이 숨어 있을 가능성이 높기 때문이다. 영어가 모국어인 사람과 그렇지 않은 사람이 가장 큰 편차를 나타내는 부분은 바로 ‘a’와 ‘the’ 혹은 ‘to’, ‘should’, ‘must’, ‘will’의 사용법이라고 한다. 이 다섯 개 표현들만 유심히 보면 일단 영어가 모국어인가 아닌가를 파악할 수 있다. 그 밖에 –ing을 제대로 사용하는 부분에서도 모국어가 영어인 사람과 그렇지 않은 사람이 차이를 보인다.
이런 분석들이 이뤄지고 나서는 ‘후보 언어’를 다섯 가지 정도로 추려낼 수 있다. 그런 후 문법적인 오류들을 후보 언어권 사용자들이 흔히 저지르는 실수들과 비교해 가장 유사한 언어 한 가지를 골라낸다. 예를 들어 the가 있어야 할 곳에 없다면, 러시아어나 슬라브어권 사람일 가능성이 높다.
아르가몬 교수는 “구시퍼 2.0은 머더보드와의 인터뷰에서 the를 거의 항상 빠트렸다”고 설명하며 “애초에 러시아인일 가능성이 높아 보였는데 루마니아인이라는 의혹이 돌아서 꽤나 이상했다”고 말한다. “루마니아어에도 a와 the 같은 요소가 있습니다.” 그러므로 오류가 많으면 많을수록 언어 분석 과정이 더 꼼꼼해지고 결과가 더 정확해질 가능성이 높다. 소니 해킹 사건의 경우 주요 ‘힌트’가 되었던 요소가 25개에 그쳤다고 한다.
확정짓기 금지
하지만 위의 시나리오는 ‘이론’에 불과하다. 현장에서는 저런 이론들이 곧바로 통용되지 않는다. 왜냐하면 대부분의 사람들이 한 가지 이상의 언어를 구사하기 때문이며, 숙련도도 다 제각각이기 때문이다. 예를 들어 만다린어(중국 표준어)를 모국어로 삼고 있는 해커이지만 러시아인 친구와 함께 러시아어로 해킹 기술을 배운 사람이라면 두 가지 언어적 특성이 엉켜서 나타날 수 있다. 그런데 그 인물이 자취를 감추기 위해 영어까지 배웠다면? 영어 문법 오류가 제일 많고, 그 다음이 러시아어, 그 다음이 만다린어일 것이다. 그러나 이에 대해 아무것도 모르는 채 분석을 진행해야 하는 입장에서는 혼란스러울 수밖에 없다.
그러니 상황 정보가 매우 중요해진다. 국제 정세나 피해 기업의 사업 관계 등 다양한 요소를 검토해 러시아의 누군가가 공격할 가능성이 있는지, 중국에서 어떤 공격이 유행하고 있는지를 알아내면 언어 분석의 가닥이 잡힐 수도 있다. 즉, 언어 분석 결과로 범인을 특정 짓는 건 언어 분석이 이뤄지는 과정과, 다른 상황 정보에 기댈 수밖에 없는 특성을 깡그리 무시하는 것이다. 아르가몬 교수는 “언어 분석은 혼자서 대단한 의미를 끌어낼 수 없다”고 강조하며 “사건 수사를 위한 보조 장치임을 기억해야 한다”고 설명했다.
워너크라이 공격을 파헤친 플래시포인트는 총 28개의 협박 편지를 수집해 분석했다. 영어로 작성된 편지는 한 개였고, 나머지 27개는 27가지 언어로 쓰였다. 결과는 ‘원래 중국어를 사용하는 범인이 27개 외국어를 사용한 것’이었다. 왜? 협박 편지들 중 두 개는 버전이 다른 중국어로 작성되었으며, 그 어떤 번역 과정도 거치지 않은 것처럼 보였기 때문이다. “불가리아어, 불어, 독일어, 이탈리아어, 일본어, 한국어, 러시아어, 스페인어, 베트남어 등에서는 영어 원본에서 번역한 것이었는데 말이죠.”
게다가 중국어로 된 협박 편지에만 구어 표현들이 있다는 것도 특이했다고 한다. 다른 언어로 된 편지에는 없는 것들이었다. 작성자가 중국어에 매우 익숙하다는 게 드러나는 지점이었다. 무수한 번역본을 파생시킨 영어본의 경우, 영어가 매우 능숙한 자인 것으로 나타났다. 철자와 대소문자 구분이 정확했기 때문이다. 하지만 couldn’t과 can’t의 용법에서 오류가 발견되었기 때문에 ‘모국어’ 수준은 아닌 것으로 결론이 났다. 과거 시제가 없는 중국어가 다시 유력한 후보로 떠오르기도 했다. 한편, 한국어로 된 협박 편지는 특히나 오류가 많았다.
그래서 “중국어 사용자가 범인”이라고 발표는 했지만, 플래시포인트는 “확정적으로 발표한 건 아니”라고 한다. 이런 언어 분석 기법은 외국어 공부를 조금 해본 사람이면 어렴풋이라도 인지하고 있는 것이기 때문에 일부러 이런 오류들을 넣는 경우들도 존재한다. 워너크라이의 한국어 협박 편지가 특히 오류투성이었던 이유에 대해 ‘북한인인 라자루스가 위장을 목적으로 일부러 그렇게 작성했기 때문’이라는 설명을 하는 이들도 꽤나 많았다.
플래시포인트의 언어 분석가들은 내부적으로 “영어 잘 하는 중국인”이 워너크라이의 범인임을 확신하고 있지만, 대외적으로는 분명하게 주장하고 있지는 않다. 어차피 “영어 잘 하는 중국인”이란 묘사에 해당하는 사람들이 너무나 많아서 범인을 특정하는 데에 아무런 도움이 되지 못한다. “이런 근거와 결과만 가지고는 중국 정부에게 뭐라 말하기가 민망하죠. 특정 국가나 단체를 지목할 수도 없고, 그래서도 안 되는 게 저희 언어 분석 결과입니다.”
게다가 워너크라이의 배후 세력으로 가장 유력하게 꼽히는 북한의 경우, 중국어와 영어를 동시에 잘할 가능성이 높다. “북한의 해킹 그룹에 대해 우리가 모르는 정보가 너무나 많습니다. 지리적으로나 정치적으로 가까운 중국인 해커가 용병처럼 고용됐을 수도 있고, 아니면 북한인들 중 중국과 접경지역에 사는 이들이 워낙 중국어에 능통할 수도 있죠. 게다가 이 해커부대원들이 사관학교와 같은 과정을 밟는다면 영어도 충분히 교육받을 수 있고요. 중국어를 모국어로 삼고 있는 사람이라고 해서 중국만을 말하는 건 아닙니다.”
그렇다면 사이버 보안 사건에서 언어 분석이 갖는 의미는?
언어 분석과 범인 지목 사이의 간극을 넓히는 또 다른 요소로는 ‘악성 행위자들 간의 끈끈한 관계’가 있다. 사이버 범죄는 이제 전 세계적인 산업이자 시장이 되었다. 각종 협력 관계가 물밑에서 맺어지고 있는데, 여기에는 국경이나 민족의 제약이 없다. 한 해킹 그룹이 단일 언어권 인물들로 구성되지 않고, 다양한 번역 서비스와 용병 사업가들이 존재한다. 워너크라이의 협박 편지를 쓴 인물과 랜섬웨어를 만든 인물과 그걸 퍼트린 인물이 전부 다른 언어권 사람일 가능성도 충분히 있는 것이다.
그럼에도 언어 분석은 효용가치가 충분하다. 플래시포인트의 연구 책임자인 레로이 테렐론지(Leroy Terrelonge)는 “언어란 개인의 특성을 반영하기에 분석하면 범인의 정체성과 사고방식, 공격 동기 등에 대한 또 다른 차원의 정보가 나올 수 있다”고 설명한다. “예를 들어 스페인어를 구사하는 공격자가 ‘주유소’를 표현하기 위해 grifo라고 했다면, 단순히 스페인어 구사자라고 결론을 내릴 수도 있지만, 한 발 더 나아가 페루 사람이라고 지목할 수도 있습니다. 왜냐하면 grifo는 페루에서만 사용되는 단어거든요.” 언어권에 따라 남자만 사용하는 단어도 있고, 특정 나이대의 사람들만 사용하는 표현도 있어, 포렌식만으로는 알기 힘든 정보들이 나오기도 한다.
또한, 언어 분석을 통해 “의도적인 실수”를 간파하는 것도 가능하다. 셰도우 브로커스의 경우 영어를 정말 못하는 것처럼 보이지만 언어 분석가들은 “영어 잘 하는 사람이 일부러 엉망진창으로 언어를 구사한 것”이라고 보고 있다. 그게 사실이라면 의도는 하나, 수사기관을 따돌리기 위한 것이다. “이렇게 수사 회피 기술을 간파할 수 있다는 것도 언어 분석의 가치죠. 결국 수사의 다양한 기법과 맞물렸을 때, 혹은 수사의 다양한 기법의 하나로 취급받을 때 언어 분석 기술은 중요한 가치를 갖습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
