이번 주 세계를 충격에 빠트린 사건이 이틀 연달아 일어났다. 헤즈볼라와 호출기와 무전기가 한꺼번에 폭발한 것인데, 이 사건에 보안 업계가 애매하게 발을 걸치고 있기도 하다.
[보안뉴스 문가용 기자] 이것은 보안 사고인가 아닌가. 레바논 헤즈볼라 대원들이 차고 있던 호출기와 무전기가 이틀 연속 폭발하면서 수많은 사상자들이 나오는 가운데, 그리고 사건의 전모가 조금씩 드러나고 있는 상황 속에서 <보안뉴스>는 이것이 궁금할 수밖에 없었다. 물론 ‘보안 사고’라는 말이 사전에 명확히 정의된 것도 아니고, IT 기술이 일상 생활 전반에 고루 영향을 미치는 시대라 어떤 상황에도 ‘보안 사고’를 끼워 맞춘다면 맞출 수 있는 것이 사실이긴 하지만, 그럼에도 혼란스러웠다. 아직 뭐라 딱 잘라 결정을 내리기 전 편집부의 고민을 독자들과 공유하고자 한다.
[이미지 = gettyimagesbank]
왜 보안 사고라 할 수 없는가?
일단 이 사건은 무전기와 호출기가 물리적인 폭발을 일으킨 것이라고 간단히 설명할 수 있다. 흔히 ‘삐삐’라고 부르는 호출기와 ‘워키토키’라고도 하는 무전기는 분명 전자 기기로 분류되기는 하지만 일반적으로 ‘해킹 범죄’와 연결 짓는 종류의 IT 기기라고 하기는 힘들다. 스마트폰이 대세가 되기 전에 사용하던 2G 폰에서조차 해킹 사고의 기억이 거의 없다시피 한데, 그보다 훨씬 전에 이용되던 구식 장비들을 대규모로 해킹한다는 건 아직까지 우리가 본 적이 없는 유형의 공격이다. 적어도 현재까지 우리가 알고 있는 형태의 ‘해킹 공격’과는 어울리지 않는 사건이라는 것이다. 이 사건으로 인해 논의가 발생하고, 사회적 합의에 의해 해킹 공격의 범주가 확장될지언정, 아직까지는 고개를 갸웃거리게 된다.
게다가 물리적 ‘폭발’만이 유일한 피해로서 발현된 사건이다. 보통 해킹 사건이라고 하면 데이터가 사라진다거나, 컴퓨터 디스크가 고장나 결국 장비 전체를 못 쓰게 된다거나, 병원 일부 시스템이 마비된다거나, 공장이나 사회기반시설이 평상시와 다르게 작동한다거나 하는 일들이 야기된다. 보안 사고라 함은 이런 ‘사이버 피해’ 혹은 ‘가상 공간에서의 피해’가 먼저 발생한 다음에 그 결과로서 물리적 비정상 현상이 나타나는 게 일반적이다. 이번 사건에서 호출기나 무전기가 갑자기 고장을 일으킨다거나 하는 일이 선행되지 않았다. 다짜고짜 터졌다.
왜 보안 사고라 할 수 있는가?
헤즈볼라가 구시대 물건인 삐삐와 워키토키를 지니고 있었던 것은, 그들이 스마트폰을 살 돈이 없어서라거나 신기술을 다룰 줄 몰라서가 아니다. 오랜 시간 이스라엘과 대치해 오면서 헤즈볼라는 스스로 구식 장비들을 택하게 됐다. 하이테크 전쟁을 하게 된다면 이스라엘을 이길 수 없었기 때문이다. 뉴욕타임즈에 의하면 이스라엘은 2020년 이란 최고 핵 물리학자를 암살했는데, 이 때 인공지능 로봇을 원격에서 조정한 것으로 알려져 있다. 그 전에는 이란 핵 시설을 해킹 공격으로 무력화시키기도 했었다.
레바논에서도 이스라엘은 헤즈볼라 최고 사령관 중 한 명을 표적으로 삼아 암살한 적이 있다. 동시에 꼭 이스라엘이 아니더라도 스마트폰 등 최신 기기들을 통한 도청과 해킹 공격 사례들이 세계 곳곳에서 나오고 있기도 하다. 이 때문에 헤즈볼라는 “하이테크를 활용하는 전쟁에서는 이스라엘에 대항할 수 없으니 우리는 오히려 로우테크로 간다”고 결단을 내렸다. 지도자까지 나서서 “적들이 도청하는 스마트폰을 버리고 무전기와 호출기를 사용하자”고 독려했다. 당시가 2022년이었는데, 이 때부터 레바논의 호출기와 무전기 수입량이 크게 증가했다.
이것이 이스라엘에는 기회가 됐다. 이스라엘은 가짜 회사를 헝가리 등에 설립했다. 호출기나 무전기를 생산하는 업체인 척 서류까지 꾸몄다. 그 중 하나가 헝가리의 BAC컨설팅(B.A.C Consulting)이다. 대만의 호출기 제조사인 골드아폴로(Gold Apollo)의 브랜드를 사용할 수 있는 권한까지 획득한 생산 대행사 노릇을 했다. 그러기 위해 여러 고객들을 정상적으로 유치하기도 했는데, 그 규모는 아직 알 수 없다. 그 고객들에게 어떻게 물량을 제공했는지도 지금은 뚜렷하게 밝혀진 바가 없다. 하지만 그 고객 중 헤즈볼라가 있었고, 그들을 위한 장비는 이스라엘에서 특수하게 제조한 것으로 보인다. 안에 PETN이라는 폭발물을 넣은 장비들이었다.
일본의 ICOM이라는 회사가 연루된 것처럼 보이기도 한다. 이는 무전기를 만드는 회사로, 이번에 레바논에서 터진 무전기들 중 다수가 ICOM에서 제조한 물건인 것으로 나타났다. 하지만 ICOM은 자신들이 그런 무전기를 만든 적이 없으며, 무슨 일이 일어난 것인지 스스로도 몰라 지금 조사에 착수했다는 입장을 발표했다. 대만의 골드아폴로 역시 폭발한 장비를 자신들이 만든 적이 없고, BAC컨설팅이 제작을 대행했다고 주장하고 있으며, BAC컨설팅은 스스로가 중개인에 불과하지 생산자는 아니라고 조사자들에게 말하고 있다. 여기에 이스라엘 첩보국이 설립한 페이퍼컴퍼니가 최소 두 개 더 있다고 하는데, 이런 기업들(과 가짜 기업들)의 관계에 대해서는 아직 명확히 밝혀진 바가 없다.
중요한 건 헤즈볼라가 스마트폰 도청이나 데이터 수집과 같은 해킹 공격으로부터 스스로를 지키기 위해 호출기와 무전기를 도입하기 시작했다는 것이다. 정보보안을 위해 더 안전한 장비를 선택했고, 그 장비에서 사고가 난 것임으로 보안 사건으로 분류해도 되지 않을까. 실제 해킹 공격의 유형 중에도 ‘다운그레이드 공격’이 있는데, 이번 사건도 큰 범주 안에서 일종의 다운그레이드 공격으로 이해한다면 무리일까? (다운그레이드 공격은 최신화 된 OS나 펌웨어, 소프트웨어를 의도적으로 이전 버전으로 되돌린 후 그 버전에 있던 취약점을 익스플로잇 하는 해킹 공격이다.)
게다가 폭발 사고로 귀결됐다고 해서 보안 사고로 볼 수 없다는 의견도 반박이 가능하다. 해킹 공격으로 인해 물리적 피해가 있을 수 있다는 주장은 꽤나 오래 전부터 나왔고, 실제로 공장이나 사회기반시설이 마비됨으로써 물리적 공간에서 실질적인 피해가 일어난 사례는 꽤 많은 편이다. 독일에서는 랜섬웨어로 마비된 병원에서 제대로 치료를 받지 못해 사망한 환자도 있었다. 그 모든 것들을 우리는 주저 없이 ‘해킹 사고’라고 부른다.
다만 보안 사고에서 나타나는 현상인 장비 마비나 데이터 탈취 등이 나타나지 않은 채 오로지 폭발만이 일어났기 때문에 보안 사고로 분류하기 힘들다는 의견은 생각해볼 만하다. 폭발이 있기 전 무전기나 호출기가 이상하게 작동했다든지, 그런 장비들을 통해 오가는 통신 내용들이 어디론가 새나간 흔적은 아직까지 발견되지 않고 있다. 처음부터 폭발 그 자체를 위한 공격으로서 기획된 것으로 보인다. 하지만 보안 사고 중 오로지 파괴만을 목적으로 한 사보타주 사건이 없는 건 아니다. 러시아가 우크라이나 조직들을 공격할 때 와이퍼라는 삭제형 멀웨어를 자주 사용하는데, 이 멀웨어들은 피해 입히는 것 그 자체만을 목적으로 한다. ‘폭발’이라는 말을 ‘사보타주’로 바꾼다면, 이번 사건은 보안 사고로 분류해도 어색하지 않다.
또 하나 지금 이 사건에서 자주 나오는 단어가 ‘공급망’이다. 정확한 전모가 드러나지는 않았지만, 이스라엘이 모종의 방법을 통해 호출기와 무전기 공급망에 개입함으로써 헤즈볼라가 결국 수류탄이나 다름없는 물건을 의심 없이 구매하도록 했다는 의미에서 공급망 침투 혹은 공급망 공격이라는 표현들이 동원되고 있다. 지금 보안 업계가 가장 신경 쓰고 있는 것이 바로 이 ‘공급망 공격’ 혹은 ‘공급망 오염’이다. 공격자들은 소프트웨어 생태계 가장 뿌리에 위치하고 있는 개발자들을 끊임없이 노리고 있는데, 특히 개발자들이 자주 사용하는 오픈소스에 미리 손을 써두고 개발자들이 멀웨어나 다름없는 걸 의심 없이 가져다가 쓰도록 하고 있다. 개념이라는 측면에서 여러 모로 닮은 점들이 나오고 있어 보안 업계로서는 익숙한 느낌을 받지 않을 수 없다.
어떤 증거가 더 나와야 명확한 보안 사고가 될까?
수많은 장비들이 한꺼번에 터졌다는 건, 그 장비 안에 폭발물을 심어둔 누군가가 처음부터 어제와 그제 폭탄이 터지도록 설계를 했을 가능성을 시사하기도 하지만, 원격 조작을 통해 폭발을 일으켰다는 가능성도 제기한다. 실제 호출기가 터지기 전에 헤즈볼라 지도부로부터 날아온 것처럼 보이는 가짜 메시지가 뜨고 신호음이 계속 울렸다는 증언들이 있는데, 이 때 사용된 방법이 해킹 기술로 특정할 만한 것으로 규정된다면 이 사건은 ‘해킹 공격’으로 분류될 수 있을 것이다. 아직은 이 부분에 대해 명확한 설명이 나오지 않고 있어 더 지켜봐야 한다.
이스라엘 첩보부가 이 사건에 대하여 아직 긍정도 부정도 하지 않고 있는데, 만약 첩보부가 공격 배후 세력으로서 명확해진다면, 그것 또한 이 사건을 보안 사고로 분류하기에 충분한 근거가 될 수 있다. 어느 나라가 했건 첩보부가 주도했다면 해킹 기술을 활용하는 게 요즘 추세이기 때문이다.
2016년 미국 대선 당시 러시아 첩보부가 주도하여 미국 소셜미디어 상에서 여론을 조작하고 가짜뉴스를 살포하는 공격을 실시했을 때, 이러한 행위들을 보안 업계가 다뤄야 하느냐 마느냐의 논란이 있었다. 보안 문제가 아니라 사회 문제가 아니냐는 것이었다. 하지만 지금은 자연스럽게 보안 문제로서 이러한 일들이 논의되고 있다. 그렇게 된 데에는 여러 가지 이유가 있지만 러시아 첩보부가 관여했다는 사실이 적잖이 작용했다(물론 사회 문제로서도 다뤄지고 있고, 소셜미디어 플랫폼들도 자사 문제로 인지해 해결에 적극 나서는 중이다). 이스라엘 첩보부가 나선다면, 시간이 흐름에 따라 이 사건도 자연스럽게 보안 사고의 하나로 파악되지 않을까 한다.
페이퍼컴퍼니들이 어떤 식으로 설립되었고, 어떤 역할을 하고 있었으며, 어떤 기능을 통해 그런 역할을 수행하고 있었는지도 중요한 사안이다. 가짜 회사가 아닌 진짜 회사들인 골드아폴로와 ICOM이 어떻게 이런 회사들에 속게 되었는지, 거기에 데이터 침해나 조작, 강제 침투나 소셜엔지니어링 같은 기술이 동원되었는지 역시 더 지켜봐야 할 부분이다.
보안 사고로 분류가 된다면
하지만 더 중요한 문제는 이 사건을 누가 어떻게 분류하느냐 마느냐가 아니다. 시간이 흘러 이번 주의 폭발 사고가 보안 사고로서 언급되어도 자연스러운 상태가 된다면, 보안의 영역이 더 넓어질 거라는 게 진짜 문제다.
위에서 언급한 러시아의 가짜뉴스 살포 및 여론 조작 공격이 처음 논란이 됐을 때 보안 업계는 각 회사의 네트워크와 모바일 장비의 안전에 한창 집중하고 있을 때였다. 사회 여론이 어떤 식으로 조성되는지까지 우리가 걱정할 일이 아니었다. 하지만 IT 기술로 구성된 플랫폼에, 해킹 공격을 주도하던 자들이 나서서 악행을 저지르기 시작하니 보안 업계도 관여하지 않을 수 없게 됐고, 점점 사회기반시설을 보호하는 것으로 보안 전문가들의 책임이 확대되기에 이르렀다. 눈 앞의 네트워크와 컴퓨터 장비들을 보호하는 것도 힘들었는데, 할 일이 비대해진 것이다.
레바논에서의 폭발 사고가 보안 분야의 연구 과제가 된다면, 이제 보안 업계는 호출기와 무전기와 같은 구식 장비들까지 연구해야 함은 물론, 이런 장비들의 광대한 공급망에까지 눈길을 돌려야 한다. 뉴욕타임즈가 짚었듯 ‘이제 모두가 자기 손에 들려 있는 전자 장비들을 수류탄처럼 쳐다봐야 하는 때’가 되고 있는 것이다. 자기가 소속되어 있는 사회와 국가를 넘어 전 세계적인 무역로도 관찰의 대상이 되어야 한다면, 그 일을 제대로 할 수 있을까?
당연히 할 수 없다. 지금 보안 업계는 수년 째 인력난을 해결하지 못해 끙끙거리고 있다. 더 많아진 일을 온전히 처리할 수 없는 상황이다. 무전기 폭발 사고가 보안 업계가 걱정해야 할 일이 된다면, 기존에 잘 하던 것들에서마저 구멍이 생길 수밖에 없다는 의미가 된다. 아무도 의도하지 않았는데도 보안 업계로서 성동격서의 상황을 맞이하게 되는 것이다. 이번 주 레바논에서 터진 폭탄 때문에 내년 우리 회사가 더 빈번하게 랜섬웨어에 감염될지도 모른다,로도 표현이 가능하다.
분류, 그것은 아무 것도 아냐
하지만 보안 업계가 “이건 사회 정치 국제 문제이지 보안 문제는 아니다”라고 적극 나선다고 해도 정착할 여론은 정착한다. 반대의 경우도 마찬가지다. 지금으로서는 상황의 추이를 지켜볼 수밖에 없고, 리스크 관리의 고수들 답게, 최악의 경우를 상정해 미리 준비하는 게 더 현명할 수도 있다.
지금으로서 상상할 수 있는 최악의 경우는 보안 업계에 추가적인 짐이 지워지게 되는 것이다. 사람이 모자라고, 인공지능이 사람을 효과적으로 대체할 수 없는 이 미묘한 시기에 덜컥 짐을 얻게 된다면 사이버 공간에 구멍이 더 많아지게 될 것은 뻔한 일이다. 그 구멍들은 더 많은 업무로서 다가오고, 보안 전문가들은 영원히 퇴근할 수 없게 되는 상황을 맞이할 지도 모른다.
그러므로 보안 업계가 해야 하는 일은 짐을 나눠서 질 수 있는 파트너들을 찾는 것이다. 정부로부터의 협력도 유치해야 하고, IT 계통의 다른 전문가들을 보안 동료로서 끌어모을 수 있도록 귀에 착착 감기는 교육과 훈련의 방법도 동원해야 하며, 일반 사용자들의 보안 의식 역시 부지런히 고취시켜야 한다. 공교육 과정에 보안이 스며들 수 있도록 교육부와도 협력할 체계를 마련하고, IT 분야가 아니더라도 보안과 잘 어울릴 수 있는 업종이 있을 수 있으니 선입견을 버리는 법도 익히는 게 중요하다. 사람이 잠시 자리를 비우는 동안 보안 업무를 담당할 수 있는 기술을 개발하는 것도 꼭 필요한 일이다.
할 일들을 이렇게 모아보면, 기존에 보안 업계가 고민하던 것들과 크게 달라질 것이 없다는 걸 알게 된다. 다만 그 수류탄들이 터지면서 그 할 일의 속도를 높여야 할 필요가 생겼다. 보다 더 많은 보안 업계 종사자들이 오래된 문제의 해결에 이제는 참여해야 할 계기가 마련됐다고도 할 수 있다. 먼 중동 지방의 일이, 보안 업계로서는 ‘나의 일’이 될 수밖에 없다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 이것은 보안 사고인가 아닌가. 레바논 헤즈볼라 대원들이 차고 있던 호출기와 무전기가 이틀 연속 폭발하면서 수많은 사상자들이 나오는 가운데, 그리고 사건의 전모가 조금씩 드러나고 있는 상황 속에서 <보안뉴스>는 이것이 궁금할 수밖에 없었다. 물론 ‘보안 사고’라는 말이 사전에 명확히 정의된 것도 아니고, IT 기술이 일상 생활 전반에 고루 영향을 미치는 시대라 어떤 상황에도 ‘보안 사고’를 끼워 맞춘다면 맞출 수 있는 것이 사실이긴 하지만, 그럼에도 혼란스러웠다. 아직 뭐라 딱 잘라 결정을 내리기 전 편집부의 고민을 독자들과 공유하고자 한다.
[이미지 = gettyimagesbank]
왜 보안 사고라 할 수 없는가?
일단 이 사건은 무전기와 호출기가 물리적인 폭발을 일으킨 것이라고 간단히 설명할 수 있다. 흔히 ‘삐삐’라고 부르는 호출기와 ‘워키토키’라고도 하는 무전기는 분명 전자 기기로 분류되기는 하지만 일반적으로 ‘해킹 범죄’와 연결 짓는 종류의 IT 기기라고 하기는 힘들다. 스마트폰이 대세가 되기 전에 사용하던 2G 폰에서조차 해킹 사고의 기억이 거의 없다시피 한데, 그보다 훨씬 전에 이용되던 구식 장비들을 대규모로 해킹한다는 건 아직까지 우리가 본 적이 없는 유형의 공격이다. 적어도 현재까지 우리가 알고 있는 형태의 ‘해킹 공격’과는 어울리지 않는 사건이라는 것이다. 이 사건으로 인해 논의가 발생하고, 사회적 합의에 의해 해킹 공격의 범주가 확장될지언정, 아직까지는 고개를 갸웃거리게 된다.
게다가 물리적 ‘폭발’만이 유일한 피해로서 발현된 사건이다. 보통 해킹 사건이라고 하면 데이터가 사라진다거나, 컴퓨터 디스크가 고장나 결국 장비 전체를 못 쓰게 된다거나, 병원 일부 시스템이 마비된다거나, 공장이나 사회기반시설이 평상시와 다르게 작동한다거나 하는 일들이 야기된다. 보안 사고라 함은 이런 ‘사이버 피해’ 혹은 ‘가상 공간에서의 피해’가 먼저 발생한 다음에 그 결과로서 물리적 비정상 현상이 나타나는 게 일반적이다. 이번 사건에서 호출기나 무전기가 갑자기 고장을 일으킨다거나 하는 일이 선행되지 않았다. 다짜고짜 터졌다.
왜 보안 사고라 할 수 있는가?
헤즈볼라가 구시대 물건인 삐삐와 워키토키를 지니고 있었던 것은, 그들이 스마트폰을 살 돈이 없어서라거나 신기술을 다룰 줄 몰라서가 아니다. 오랜 시간 이스라엘과 대치해 오면서 헤즈볼라는 스스로 구식 장비들을 택하게 됐다. 하이테크 전쟁을 하게 된다면 이스라엘을 이길 수 없었기 때문이다. 뉴욕타임즈에 의하면 이스라엘은 2020년 이란 최고 핵 물리학자를 암살했는데, 이 때 인공지능 로봇을 원격에서 조정한 것으로 알려져 있다. 그 전에는 이란 핵 시설을 해킹 공격으로 무력화시키기도 했었다.
레바논에서도 이스라엘은 헤즈볼라 최고 사령관 중 한 명을 표적으로 삼아 암살한 적이 있다. 동시에 꼭 이스라엘이 아니더라도 스마트폰 등 최신 기기들을 통한 도청과 해킹 공격 사례들이 세계 곳곳에서 나오고 있기도 하다. 이 때문에 헤즈볼라는 “하이테크를 활용하는 전쟁에서는 이스라엘에 대항할 수 없으니 우리는 오히려 로우테크로 간다”고 결단을 내렸다. 지도자까지 나서서 “적들이 도청하는 스마트폰을 버리고 무전기와 호출기를 사용하자”고 독려했다. 당시가 2022년이었는데, 이 때부터 레바논의 호출기와 무전기 수입량이 크게 증가했다.
이것이 이스라엘에는 기회가 됐다. 이스라엘은 가짜 회사를 헝가리 등에 설립했다. 호출기나 무전기를 생산하는 업체인 척 서류까지 꾸몄다. 그 중 하나가 헝가리의 BAC컨설팅(B.A.C Consulting)이다. 대만의 호출기 제조사인 골드아폴로(Gold Apollo)의 브랜드를 사용할 수 있는 권한까지 획득한 생산 대행사 노릇을 했다. 그러기 위해 여러 고객들을 정상적으로 유치하기도 했는데, 그 규모는 아직 알 수 없다. 그 고객들에게 어떻게 물량을 제공했는지도 지금은 뚜렷하게 밝혀진 바가 없다. 하지만 그 고객 중 헤즈볼라가 있었고, 그들을 위한 장비는 이스라엘에서 특수하게 제조한 것으로 보인다. 안에 PETN이라는 폭발물을 넣은 장비들이었다.
일본의 ICOM이라는 회사가 연루된 것처럼 보이기도 한다. 이는 무전기를 만드는 회사로, 이번에 레바논에서 터진 무전기들 중 다수가 ICOM에서 제조한 물건인 것으로 나타났다. 하지만 ICOM은 자신들이 그런 무전기를 만든 적이 없으며, 무슨 일이 일어난 것인지 스스로도 몰라 지금 조사에 착수했다는 입장을 발표했다. 대만의 골드아폴로 역시 폭발한 장비를 자신들이 만든 적이 없고, BAC컨설팅이 제작을 대행했다고 주장하고 있으며, BAC컨설팅은 스스로가 중개인에 불과하지 생산자는 아니라고 조사자들에게 말하고 있다. 여기에 이스라엘 첩보국이 설립한 페이퍼컴퍼니가 최소 두 개 더 있다고 하는데, 이런 기업들(과 가짜 기업들)의 관계에 대해서는 아직 명확히 밝혀진 바가 없다.
중요한 건 헤즈볼라가 스마트폰 도청이나 데이터 수집과 같은 해킹 공격으로부터 스스로를 지키기 위해 호출기와 무전기를 도입하기 시작했다는 것이다. 정보보안을 위해 더 안전한 장비를 선택했고, 그 장비에서 사고가 난 것임으로 보안 사건으로 분류해도 되지 않을까. 실제 해킹 공격의 유형 중에도 ‘다운그레이드 공격’이 있는데, 이번 사건도 큰 범주 안에서 일종의 다운그레이드 공격으로 이해한다면 무리일까? (다운그레이드 공격은 최신화 된 OS나 펌웨어, 소프트웨어를 의도적으로 이전 버전으로 되돌린 후 그 버전에 있던 취약점을 익스플로잇 하는 해킹 공격이다.)
게다가 폭발 사고로 귀결됐다고 해서 보안 사고로 볼 수 없다는 의견도 반박이 가능하다. 해킹 공격으로 인해 물리적 피해가 있을 수 있다는 주장은 꽤나 오래 전부터 나왔고, 실제로 공장이나 사회기반시설이 마비됨으로써 물리적 공간에서 실질적인 피해가 일어난 사례는 꽤 많은 편이다. 독일에서는 랜섬웨어로 마비된 병원에서 제대로 치료를 받지 못해 사망한 환자도 있었다. 그 모든 것들을 우리는 주저 없이 ‘해킹 사고’라고 부른다.
다만 보안 사고에서 나타나는 현상인 장비 마비나 데이터 탈취 등이 나타나지 않은 채 오로지 폭발만이 일어났기 때문에 보안 사고로 분류하기 힘들다는 의견은 생각해볼 만하다. 폭발이 있기 전 무전기나 호출기가 이상하게 작동했다든지, 그런 장비들을 통해 오가는 통신 내용들이 어디론가 새나간 흔적은 아직까지 발견되지 않고 있다. 처음부터 폭발 그 자체를 위한 공격으로서 기획된 것으로 보인다. 하지만 보안 사고 중 오로지 파괴만을 목적으로 한 사보타주 사건이 없는 건 아니다. 러시아가 우크라이나 조직들을 공격할 때 와이퍼라는 삭제형 멀웨어를 자주 사용하는데, 이 멀웨어들은 피해 입히는 것 그 자체만을 목적으로 한다. ‘폭발’이라는 말을 ‘사보타주’로 바꾼다면, 이번 사건은 보안 사고로 분류해도 어색하지 않다.
또 하나 지금 이 사건에서 자주 나오는 단어가 ‘공급망’이다. 정확한 전모가 드러나지는 않았지만, 이스라엘이 모종의 방법을 통해 호출기와 무전기 공급망에 개입함으로써 헤즈볼라가 결국 수류탄이나 다름없는 물건을 의심 없이 구매하도록 했다는 의미에서 공급망 침투 혹은 공급망 공격이라는 표현들이 동원되고 있다. 지금 보안 업계가 가장 신경 쓰고 있는 것이 바로 이 ‘공급망 공격’ 혹은 ‘공급망 오염’이다. 공격자들은 소프트웨어 생태계 가장 뿌리에 위치하고 있는 개발자들을 끊임없이 노리고 있는데, 특히 개발자들이 자주 사용하는 오픈소스에 미리 손을 써두고 개발자들이 멀웨어나 다름없는 걸 의심 없이 가져다가 쓰도록 하고 있다. 개념이라는 측면에서 여러 모로 닮은 점들이 나오고 있어 보안 업계로서는 익숙한 느낌을 받지 않을 수 없다.
어떤 증거가 더 나와야 명확한 보안 사고가 될까?
수많은 장비들이 한꺼번에 터졌다는 건, 그 장비 안에 폭발물을 심어둔 누군가가 처음부터 어제와 그제 폭탄이 터지도록 설계를 했을 가능성을 시사하기도 하지만, 원격 조작을 통해 폭발을 일으켰다는 가능성도 제기한다. 실제 호출기가 터지기 전에 헤즈볼라 지도부로부터 날아온 것처럼 보이는 가짜 메시지가 뜨고 신호음이 계속 울렸다는 증언들이 있는데, 이 때 사용된 방법이 해킹 기술로 특정할 만한 것으로 규정된다면 이 사건은 ‘해킹 공격’으로 분류될 수 있을 것이다. 아직은 이 부분에 대해 명확한 설명이 나오지 않고 있어 더 지켜봐야 한다.
이스라엘 첩보부가 이 사건에 대하여 아직 긍정도 부정도 하지 않고 있는데, 만약 첩보부가 공격 배후 세력으로서 명확해진다면, 그것 또한 이 사건을 보안 사고로 분류하기에 충분한 근거가 될 수 있다. 어느 나라가 했건 첩보부가 주도했다면 해킹 기술을 활용하는 게 요즘 추세이기 때문이다.
2016년 미국 대선 당시 러시아 첩보부가 주도하여 미국 소셜미디어 상에서 여론을 조작하고 가짜뉴스를 살포하는 공격을 실시했을 때, 이러한 행위들을 보안 업계가 다뤄야 하느냐 마느냐의 논란이 있었다. 보안 문제가 아니라 사회 문제가 아니냐는 것이었다. 하지만 지금은 자연스럽게 보안 문제로서 이러한 일들이 논의되고 있다. 그렇게 된 데에는 여러 가지 이유가 있지만 러시아 첩보부가 관여했다는 사실이 적잖이 작용했다(물론 사회 문제로서도 다뤄지고 있고, 소셜미디어 플랫폼들도 자사 문제로 인지해 해결에 적극 나서는 중이다). 이스라엘 첩보부가 나선다면, 시간이 흐름에 따라 이 사건도 자연스럽게 보안 사고의 하나로 파악되지 않을까 한다.
페이퍼컴퍼니들이 어떤 식으로 설립되었고, 어떤 역할을 하고 있었으며, 어떤 기능을 통해 그런 역할을 수행하고 있었는지도 중요한 사안이다. 가짜 회사가 아닌 진짜 회사들인 골드아폴로와 ICOM이 어떻게 이런 회사들에 속게 되었는지, 거기에 데이터 침해나 조작, 강제 침투나 소셜엔지니어링 같은 기술이 동원되었는지 역시 더 지켜봐야 할 부분이다.
보안 사고로 분류가 된다면
하지만 더 중요한 문제는 이 사건을 누가 어떻게 분류하느냐 마느냐가 아니다. 시간이 흘러 이번 주의 폭발 사고가 보안 사고로서 언급되어도 자연스러운 상태가 된다면, 보안의 영역이 더 넓어질 거라는 게 진짜 문제다.
위에서 언급한 러시아의 가짜뉴스 살포 및 여론 조작 공격이 처음 논란이 됐을 때 보안 업계는 각 회사의 네트워크와 모바일 장비의 안전에 한창 집중하고 있을 때였다. 사회 여론이 어떤 식으로 조성되는지까지 우리가 걱정할 일이 아니었다. 하지만 IT 기술로 구성된 플랫폼에, 해킹 공격을 주도하던 자들이 나서서 악행을 저지르기 시작하니 보안 업계도 관여하지 않을 수 없게 됐고, 점점 사회기반시설을 보호하는 것으로 보안 전문가들의 책임이 확대되기에 이르렀다. 눈 앞의 네트워크와 컴퓨터 장비들을 보호하는 것도 힘들었는데, 할 일이 비대해진 것이다.
레바논에서의 폭발 사고가 보안 분야의 연구 과제가 된다면, 이제 보안 업계는 호출기와 무전기와 같은 구식 장비들까지 연구해야 함은 물론, 이런 장비들의 광대한 공급망에까지 눈길을 돌려야 한다. 뉴욕타임즈가 짚었듯 ‘이제 모두가 자기 손에 들려 있는 전자 장비들을 수류탄처럼 쳐다봐야 하는 때’가 되고 있는 것이다. 자기가 소속되어 있는 사회와 국가를 넘어 전 세계적인 무역로도 관찰의 대상이 되어야 한다면, 그 일을 제대로 할 수 있을까?
당연히 할 수 없다. 지금 보안 업계는 수년 째 인력난을 해결하지 못해 끙끙거리고 있다. 더 많아진 일을 온전히 처리할 수 없는 상황이다. 무전기 폭발 사고가 보안 업계가 걱정해야 할 일이 된다면, 기존에 잘 하던 것들에서마저 구멍이 생길 수밖에 없다는 의미가 된다. 아무도 의도하지 않았는데도 보안 업계로서 성동격서의 상황을 맞이하게 되는 것이다. 이번 주 레바논에서 터진 폭탄 때문에 내년 우리 회사가 더 빈번하게 랜섬웨어에 감염될지도 모른다,로도 표현이 가능하다.
분류, 그것은 아무 것도 아냐
하지만 보안 업계가 “이건 사회 정치 국제 문제이지 보안 문제는 아니다”라고 적극 나선다고 해도 정착할 여론은 정착한다. 반대의 경우도 마찬가지다. 지금으로서는 상황의 추이를 지켜볼 수밖에 없고, 리스크 관리의 고수들 답게, 최악의 경우를 상정해 미리 준비하는 게 더 현명할 수도 있다.
지금으로서 상상할 수 있는 최악의 경우는 보안 업계에 추가적인 짐이 지워지게 되는 것이다. 사람이 모자라고, 인공지능이 사람을 효과적으로 대체할 수 없는 이 미묘한 시기에 덜컥 짐을 얻게 된다면 사이버 공간에 구멍이 더 많아지게 될 것은 뻔한 일이다. 그 구멍들은 더 많은 업무로서 다가오고, 보안 전문가들은 영원히 퇴근할 수 없게 되는 상황을 맞이할 지도 모른다.
그러므로 보안 업계가 해야 하는 일은 짐을 나눠서 질 수 있는 파트너들을 찾는 것이다. 정부로부터의 협력도 유치해야 하고, IT 계통의 다른 전문가들을 보안 동료로서 끌어모을 수 있도록 귀에 착착 감기는 교육과 훈련의 방법도 동원해야 하며, 일반 사용자들의 보안 의식 역시 부지런히 고취시켜야 한다. 공교육 과정에 보안이 스며들 수 있도록 교육부와도 협력할 체계를 마련하고, IT 분야가 아니더라도 보안과 잘 어울릴 수 있는 업종이 있을 수 있으니 선입견을 버리는 법도 익히는 게 중요하다. 사람이 잠시 자리를 비우는 동안 보안 업무를 담당할 수 있는 기술을 개발하는 것도 꼭 필요한 일이다.
할 일들을 이렇게 모아보면, 기존에 보안 업계가 고민하던 것들과 크게 달라질 것이 없다는 걸 알게 된다. 다만 그 수류탄들이 터지면서 그 할 일의 속도를 높여야 할 필요가 생겼다. 보다 더 많은 보안 업계 종사자들이 오래된 문제의 해결에 이제는 참여해야 할 계기가 마련됐다고도 할 수 있다. 먼 중동 지방의 일이, 보안 업계로서는 ‘나의 일’이 될 수밖에 없다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
