“APT29는 가장 진화한 역량을 갖춘 해킹 그룹이다.”

클라우드 보안기업인 ‘카본블랙’이 올해 3월 발표한 자료대로라면 러시아 해킹 그룹 APT29는 지난 10여년 동안 전 세계를 누비고 다녔다. 미국·조지아·터키·우간다·노르웨이·네덜란드의 정부 기관들이 이 해커 조직의 먹잇감이 됐다. 그래도 이들이 대외적으로 유명세를 탄 건 2016년 사건 덕분이다. 당시 미국 대선을 앞두고 민주당 전국위원회(DNC) 서버를 해킹했기 때문이다. 미 보안업체인 ‘크라우드스트라이크(CrowdStrike)’에 따르면 2015년 여름 러시아 해커들은 DNC 서버에 침입했고 약 1년간 데이터 접속 권한을 유지했다. 당시 민주당 진영과 힐러리 캠프가 주고받은 내부 이메일이 위키리크스를 통해 공개됐고 클린턴 진영은 타격을 입었는데 출처는 뻔했다. 당시 주범 격으로 지목됐던 게 또 다른 러시아 해커 조직인 APT28이었고 APT29는 공범 격으로 활동을 함께했다.

이 해커 그룹은 최근 영국에서 유명세를 타고 있다. “러시아 정보국이 코로나19의 확산을 막기 위해 노력하는 사람들을 목표로 삼고 있는 건 절대 용납할 수 없다.” 러시아를 비판하는 도미닉 라브 영국 외무장관의 입에서 APT29라는 이름이 나왔다. 지난 7월 16일 목요일의 헤드라인은 냉전 시대의 갈등을 재연했다. 영국·미국·캐나다의 정보기관들은 “러시아 해커 조직이 코로나19 백신 성과를 가로채려 했다”고 공개했다. 3개 나라가 합심해 비난한 상대는 러시아였다. 해킹 주도자로 지목된 ‘APT29’를 보안 관계자들은 ‘코지 베어(Cosy Bear)’라고도 부른다. 그간 전면에 나서기보다 조용하게 정보를 수집해 온 조직이라는 평가를 받았던 곳이었다.

3개국 정부는 APT29가 코로나19 백신 개발에 관련한 다양한 조직을 해킹 목표로 삼았다고 결론 냈다. 영국 국립사이버안보센터(NCSC)는 “95% 이상의 확률로 확신한다”고 강조했다. 피해 정도는 구체적으로 드러나지 않았다. 현지 언론은 침입 흔적만 있을 뿐 피해를 보진 않았다고 보도했다.

코로나19 백신 개발자 노리는 해커들

세계보건기구(WHO)에 따르면 현재 전 세계 150개 이상의 연구팀이 코로나19 백신 개발에 착수했고 24개는 임상시험에 들어갔다. 이 중 앞서 있다고 평가받는 백신을 영국 옥스퍼드대학의 제너연구소와 영국의 다국적 제약사 아스트라제네카가 개발 중인데 현재 임상 3상에 들어간 상태다. 지난 7월 20일 영국 의학학술지 ‘랜싯’에는 이 백신의 예비 조사 결과가 논문으로 발표됐다. 1상 임상시험 결과가 실렸는데 연구 결과 통증이나 오한, 근육통 등의 가벼운 부작용만 있었고 면역 반응 유도 효과를 확인했다. 원활하게 흘러간다면 9~10월께 백신 개발을 완료하고 생산할 수 있을 것으로 점쳐지는 물건이다. 이미 여러 나라에서 선계약을 맺으며 선점에 나섰다. 이런 배경을 감안하면 러시아 해커들은 백신에 가장 접근한 나라를 공격 목표로 삼은 셈이다.

러시아 해킹 그룹 이름에 따라붙는 APT(Advance Persistent Threat)는 지능형 지속 공격을 의미한다. 우리에게 익숙한 디도스(DDoS) 공격과 함께 지금은 사이버 공격의 주류로 평가받고 있다. 불특정다수가 아니라 특정 조직을 대상으로 공격한다는 점, 짧게 치고 빠지는 게 아니라 은밀하게 오랫동안 공격한다는 점이 특징이다.

보안업체 포티넷은 APT 공격 기간이 평균 1년 정도라고 밝혔다. 일정한 공격 패턴은 없는데 보통은 사람을 노리는 경우가 많다. 내부 직원의 PC를 이메일이나 가짜 홈페이지를 통해 감염시켜 통제하는 경우가 대표적이다. 이렇게 가로챈 PC로 서버나 데이터베이스에 접근해 정보를 빼내거나 파괴하는 해킹을 생각하면 쉽다.

이 은밀함 때문에 해킹을 당하고 있는지 파악하는 건 쉽지 않다. 공격 집단을 특정하는 건 더 어려운 일이다. APT를 활용하는 해커들의 성격은 다양하다. 금전을 노린 개인의 집합체일 수도, 정부의 지원을 받는 조직일 수도 있다. 게다가 추적마저 어렵다. 다른 조직의 흔적을 남기기도 하고, 자신들의 흔적을 일부러 남겨 마치 자신이 하지 않은 일에 누명을 쓴 것처럼 증거를 뒤엉키게 만드는 일도 허다하게 일어난다. 그러다 보니 “어느 나라에서 우리를 해킹했다”라고 명확하게 말하는 건 국가 단위 사건에서 외교적 불화를 일으키기 쉽다. 지난 7월 19일 안드레이 켈린 영국 주재 러시아 대사가 BBC 방송에 출연해 “해커들을 어느 한 국가와 연결하는 것은 불가능하다”고 말한 건 이런 맥락에서 나름 있을 법한 주장이다.

정치적인 러시아 해커와 상업적 중국 해커

해커들의 정체를 파악해 이름을 붙이는 건 주로 보안 전문가 집단이 맡는다. 흔적을 쫓는 것도, 실체를 파악하는 것도 어려운 일이지만 그래도 오랜 노력 끝에 부분적으로 몇몇 그룹은 정체를 밝혀냈다. 다만 딱히 정해진 표준이 없다 보니 한 해커 집단을 두고 이름이 여러 개가 붙는 경우가 많다. 글로벌 보안업체 파이어아이(FireEye)는 ‘APT+숫자’로 이름 짓는다. 숫자는 회사 내부에서 정한 국가 코드다. 파이어아이가 공개한 APT1은 중국 인민해방군의 총참모부 3부 2국으로 통칭 61398부대라고 불리는 조직이다. 북한 역시 APT37과 APT38로 파악돼 있다. APT29를 ‘코지 베어’라고도 부르는 건 크라우드스트라이크가 붙인 이름 때문이다. 이 기업은 해커 집단의 이름에 해당 국가를 대표하는 동물을 활용하곤 했다. ‘베어(Bear)’가 붙은 건 러시아를 대표하는 동물이 곰이라서다.

러시아에는 정보기관이 여럿 존재한다. 소비에트연방 시대의 KGB(국가보안위원회)는 해외 첩보 활동을 담당하는 SVR(해외정보국)과 국내 활동을 담당하는 FSB(러시아 연방보안국)로 분리됐다. 러시아 군도 GRU(러시아 군사정보국)라는 조직을 갖고 있다. 각 기관에는 사이버 공격을 담당하는 팀이 있는데, APT29는 SVR 소속으로 추정된다.

영국 정부의 발표에 케일리 매커내니 백악관 대변인은 “우리는 백신 정보를 지키기 위해 동맹국들과 긴밀하게 협력할 것이다”라고 말하며 지지했다. 최근까지 워싱턴에서는 영국과 비슷한 우려가 퍼져 있었다. 러시아 외에 중국이 유사한 행동을 하고 있다며 비난받았다. 3개국이 러시아를 범인으로 지목한 얼마 뒤인 7월 20일, 미 법무부는 중국인 2명을 코로나19 백신 정보를 해킹한 혐의로 기소했다.

기소장에 따르면 올해 1월 말부터 이들은 메릴랜드·매사추세츠·캘리포니아의 바이오 기업들 네트워크에서 보안 취약점을 발견하려고 시도했다. 이들 기업은 코로나19 백신과 치료법을 연구하거나 진단키트를 생산하는 곳이었다. 최근에는 정부 기관 산하에 해커 조직을 두는 것 외에 민간 해커를 정부가 고용해 활용하는 흐름이 있는데 이번 경우가 그랬다. 이번이 중국 정부를 대신해 사이버 작전을 수행한 민간 해커들을 첫 기소한 사건이다.

미국이 중국을 본격적으로 겨냥한 건 지난 4월부터였다. 코로나19가 퍼진 뒤부터 중국의 해킹 활동이 급증했다고 판단하고 있던 차에 미 연방수사국(FBI)이 코로나19 연구기관과 제약사에서 일부 침입을 확인했다고 발표했다. 다만 이때는 누가 공격했는지 공개하지 않았다.

5월에 접어들자 FBI와 미 국토안보부(DHS)는 공개적으로 중국을 범인으로 지목했다. “중국 정부를 위해 일하는 해커들이 코로나19 백신에 관한 연구 자료를 훔치려 하고 있다”며 베이징을 정조준했다. 비슷한 시기 파이어아이는 보고서를 통해 “중국 해커 그룹인 APT11이 가장 광범위한 해킹 캠페인 중 하나를 수행하고 있다”고 주장했다.

미 행정부와 공화당 의원들은 중국과의 무역전쟁을 정당화하는 데 사이버 공격을 적극적으로 활용한다. 중국의 해킹은 러시아와 결이 좀 다르다고 판단해서다.

미 싱크탱크인 국제전략문제연구소(CSIS)의 제임스 루이스 부소장은 “러시아는 상업적 목적보다는 정치적·군사적 목표에 초점을 맞추지만 중국은 상업적·기술적 목적에 관심이 더 많다”고 말한다. 현재 백신 경쟁에서 선두에 선 국가는 영국과 미국, 그리고 중국이다. 중국 칸시노생물주식회사와 중국군이 합작으로 만들고 있는 백신 역시 곧 3상에 들어갈 예정이다. ‘최초’라는 타이틀을 원하며 코로나19를 리더십의 발판으로 삼으려는 중국 입장에서 해킹은 또 다른 전략일 수 있다. 폴리티코는 “중국 해커들의 사이버 공격은 과학자들이 중요한 연구를 일시 중단하고 데이터 조작 여부를 확인하고 검토하도록 해 백신 완성을 더디게 할 수 있다”고 설명했다.

코로나19 악용해 60배 늘어난 스팸 공격

이처럼 우리가 인지하지 못할 뿐, 코로나19는 현실을 넘어 사이버 공간에서도 우리를 위험에 노출시킨다. 보안기업 ‘체크포인트’는 “병원들이 위험하다”는 내용을 담은 보고서를 발표했는데 랜섬웨어가 의료기관을 목표로 삼아 기승을 부리고 있기 때문이다.

실제로 IBM의 사이버 보안팀인 IBM X-Force에 따르면 올해 3~4월 스팸 공격이 지난해와 비교해 6000%나 증가했는데 대부분이 의료시설을 노렸고 코로나19라는 테마를 활용했다. 주된 목적은 환자의 의료 데이터를 볼모로 삼아 돈을 요구하기 위해서였다. 보안에 느슨한 작은 병원이라도 뚫린다면 그걸 발판으로 더 큰 의료시설과 기관으로 접근해 볼 수 있다는 게 문제였다.

구글의 위협분석그룹(TAG)도 심상치 않은 변화에 관해서 보고서를 내고 있다. 구글의 진단에 따르면 세계보건기구를 흉내 낸 지메일 계정들이 팬데믹 동안 급격하게 늘었고 이런 이메일을 활용해 코로나19를 미끼로 한 피싱 메일이 엄청나게 돌았다.

예를 들어 “등록한 사람에게는 WHO의 최신 정보를 보내준다”는 메일에는 WHO 홈페이지와 매우 흡사하게 생긴 웹사이트 링크가 첨부돼 왔다. 이 가짜 페이지는 사용자가 로그인할 때 그 정보를 가로챈다. 이런 흐름에 APT29 같은 정부 관련 조직들이 편승하고 있다.

이런 위험을 증폭시키는 것이 현실적인 코로나19 ‘안전책’ 때문이란 건 역설적이다. 루이스 부소장은 재택근무를 문제점으로 꼽는다. “재택근무는 해커들에게 황금 같은 기회”라고 말한다. 상대적으로 보안체계가 허술해서다. 지난 6월 26일 글로벌 보안기업인 시만텍은 러시아 해커 조직인 ‘이블코퍼레이션(EvilCorp)’에 관해 경고했다.

이 조직은 재택근무를 하는 직원들을 식별한 뒤 그들의 PC를 활용해 정부 기관이나 대기업, 미디어 등에 침투하려고 했다. 우려스러운 건 해킹이 돈이 아니라 더 큰 정치적 혼란을 노릴 때다. 예를 들어 선거를 앞두고 유권자 정보가 날아간다면? 미 국토안보부가 11월 3일 대선을 앞두고 유권자 등록 데이터베이스 보호를 거론하는 게 과잉대응으로 보이지 않는 이유다.