[사이버전쟁] 좀비PC들의 공격 美 금융권 마비되다
13 이란의 이슬람 혁명수비대와 사이버 전쟁 (상)
민간회사 직원 위장해 간접적 전투
대규모 트래픽 유발 ‘디도스 공격’
국가·민간 금융기관 서버 무력화
뉴욕 애비뉴 댐 제어시스템도 침투
미사일 공격 같은 금전·심리적 피해
 |
이슬람 혁명수비대
1979년 이란 혁명에 성공한 아야톨라 루홀라 호메이니는 새로운 헌법을 통해 삼권분립과 대통령을 초월한 지위를 이란 내 이슬람 최고지도자인 아야톨라에게 부여했으며, 종교지도자로 구성된 초의회적인 헌법감시평의회를 설립했다.
또한, 그는 혁명 세력과 새로운 신정 체제의 수호자로 이슬람 혁명수비대(IRGC, Islamic Revolutionary Guard Corps)를 창설했다. 그들은 팔레비 왕조에 충성하던 장교들이 주를 이루던 정규군대와 별개였다. IRGC는 나치 독일의 무장 친위대와 비슷한 역할을 했지만, 그보다 더 막강한 권력을 갖고 있었다.
약 19만 명의 병력읕 거느린 IRGC는 육군, 해군, 공군, 준군사조직, 그리고 특수부대인 쿠드스로 구성되어 있다. 그들은 42만 명의 병력을 보유한 이란의 정규군에 비해 규모는 작았지만, 화력과 군사작전 능력 등 모든 면에서 정규군보다 훨씬 강했다. 이란의 대통령도 혁명수비대의 눈치를 보았다.
위키리크스가 폭로한 미국의 외교 전문에 따르면, 2009년 6월 모하메드 알리 자파리 IRGC 총사령관은 국가안보회의에서 태도가 불순하다는 이유로 마무드 아마디네자드 당시 대통령의 뺨을 때렸다. IRGC의 유일한 통수권자는 대통령이 아닌 이슬람 종교 최고지도자였다.
IRGC의 은밀한 사이버전략
시아파의 맹주 이란은 IRGC를 앞세워 중동 내 수니파 국가들과의 군사적 경쟁을 넘어 미국에 대한 군사작전을 수행하고 있다. IRGC는 미군이 가셈 솔레이마니 쿠드스군(특수부대) 사령관을 암살한 데 대한 복수로 2020년 1월 이라크 내 미군 기지에 탄도미사일 22발을 발사했다.
그런데 IRGC는 사이버공간에서도 미국과 전쟁 중에 있다. 물리적 공간에서의 군사작전과 다른 점이 있다면, IRGC는 직접 사이버 작전을 수행하는 것이 아니라 민간 해커들로 위장한 IRGC의 해커들을 통한 간접적 전투를 하고 있다는 점이다.
IRGC와 연계된 해커들은 민간 컴퓨터 보안회사 또는 연구소에 소속된 민간인 직원들처럼 행세하며 IRGC에 이익이 되는 일들을 사이버공간에서 은밀히 수행하고 있다. 물론, 이란 정부에 직접 고용된 사이버 전사인지 아니면 프리랜서 해커이면서 자신들의 작전 결과에 따른 보상을 받는 방식인지 모호함은 있다. 그럼에도 분명한 사실은 이들 이란 해커들의 불법적 행위가 이란 정부, 특히 IRGC에 큰 이득을 가져다주는 사이버 전쟁의 한 형태라는 점이다.
전쟁의 시작…DDoS 공격(2011~2013)
IRGC의 초기 사이버 전쟁은 이란 내 두 개의 민간 컴퓨터 보안회사인 ITSec Team과 Mersad가 주도했다. 2011년 초 설립된 Mersad는 유명 이란계 해커그룹인 Sun Army와 Ashiyane Digital Security Team에서 활동하는 전문 해커들로 구성되어 있었다.
민간회사 직원으로 위장한 두 회사의 사이버 전사들은 리더와 조직책으로 나뉘어 움직였다. 이란 해커 조직의 리더는 디도스(DDoS, 분산 서비스 거부) 공격을 위한 사이버 작전 전반을 진두지휘하고, 조직책들은 세부 전투를 위한 좀비PC를 확보했으며, 확보된 엄청난 수의 좀비PC들로 봇넷을 구성했다. 그리고 해커들은 자신들의 봇넷을 통제하기 위한 지휘통제시스템(C&C)도 구축했다. 즉, 그들은 각각의 임무를 통해 과도한 트래픽을 발생시켜 공격 대상의 서버를 무력화시키는 디도스 공격을 위하여 중앙집권적 통제 시스템과 부대를 갖추었던 것이다.
IRGC의 해커들의 공격은 2011년 12월부터 시작되었다. 이란 해커의 C&C는 봇넷을 조종하여 미국의 금융 기관과 회사의 서버를 마비시켰다. 이때 사용된 방식은 서버의 용량을 초과하는 양의 트래픽을 보내는 디도스 공격이었다. 세계 경제의 중심인 뉴욕 월가를 대표하는 주식거래시장, 나스닥, 아메리칸 익스프레스, 뱅크오브아메리카, 캐피탈원, US뱅크, 시티뱅크, 체이스뱅크, 유니온뱅크 등의 수많은 국가 금융기관과 민간 금융회사의 서버가 공격의 주요 대상이었다.
공격은 최초 10개월간 산발적으로 발생했고, 2013년 5월 종료될 때까지는 반복적으로 자주 일어났다. 이란 해커들은 피해를 높이기 위해 회사 관계자와 고객들이 서버를 많이 이용하는 평일(화~목) 근무시간을 집중 공략했다. 당시 한 민간 금융회사의 경우 봇넷에 의한 조직적 공격으로 자사의 서버에 초당 140기가바이트 정도의 데이터가 유입되었다고 한다. 이는 서버 용량을 최대 3배 넘는 수치였다. 이란 해커의 공격기간인 3년 동안 일수로는 총 176일간 공격이 이루어졌고, 수백만 명의 고객들이 큰 불편을 겪었다. 당시 공격을 받은 금융기관과 회사들이 서버에 대한 방어와 복구에 쓴 직접적 비용만도 한화로 수백억 원에 달했다.
국가 주요 기반시설도 공격 실시
한편, ITSec Team은 미국 금융권에 대한 디도스 공격뿐만 아니라 국가 주요 기반시설에 대한 공격도 실시했다. IRGC의 해커는 2013년 8월 28일 불법적으로 뉴욕 북쪽에 위치한 보먼 애비뉴 댐(Bowman Avenue Dam)의 제어시스템에 원격으로 접속하는 데 성공하여 그 다음 달 18일까지 주기적으로 시스템을 드나들었다. 그 제어시스템으로 댐의 수위와 수문을 통제할 수 있었기에 큰 인명피해를 일으킬 수 있는 상황까지 간 것이다.
 |
그나마 다행히도 댐을 관리하는 주체가 우연하게도 해커의 사이버 침투 바로 직전에 댐의 보수를 이유로 수문과 수위 조절이 수동으로 조작되도록 변경시켜 두었었다. 즉, 당시 이란 해커들은 원격 제어시스템에 대한 권한을 얻었지만, 수동으로만 조작되는 수문 개방과 수위 조절을 온라인상에서 변경할 수 없었기에 직접적인 물리적 피해로 연결시킬 수 없었다. 보먼만 댐의 시스템 복구에는 약 3만 달러(약 3400만 원) 정도의 비용이 들었다.
초기 IRGC의 사이버 공격에 따른 금융권 마비와 국가기반시설의 침투는 미사일에 의한 공격과 같은 물리적 타격과 겉은 달랐지만, 그 결과로 인한 금전적, 그리고 심리적 피해 규모는 전혀 다르지 않았다. 그런데 시간이 지나며 IRGC의 사이버 전쟁의 공격 목적과 방식은 변하고 있었다.
 |
필자 박동휘 소령은 육사 61기로 졸업·임관 후 美 워싱턴대에서 사이버전쟁과 전략에 관한 연구로 박사 학위를 받았다. 현재 육군3사관학교 군사사학과 학과장으로 근무하고 있다.
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
[사이버전쟁] 좀비PC들의 공격 美 금융권 마비되다
13 이란의 이슬람 혁명수비대와 사이버 전쟁 (상)
민간회사 직원 위장해 간접적 전투
대규모 트래픽 유발 ‘디도스 공격’
국가·민간 금융기관 서버 무력화
뉴욕 애비뉴 댐 제어시스템도 침투
미사일 공격 같은 금전·심리적 피해
| |
이슬람 혁명수비대
1979년 이란 혁명에 성공한 아야톨라 루홀라 호메이니는 새로운 헌법을 통해 삼권분립과 대통령을 초월한 지위를 이란 내 이슬람 최고지도자인 아야톨라에게 부여했으며, 종교지도자로 구성된 초의회적인 헌법감시평의회를 설립했다.
또한, 그는 혁명 세력과 새로운 신정 체제의 수호자로 이슬람 혁명수비대(IRGC, Islamic Revolutionary Guard Corps)를 창설했다. 그들은 팔레비 왕조에 충성하던 장교들이 주를 이루던 정규군대와 별개였다. IRGC는 나치 독일의 무장 친위대와 비슷한 역할을 했지만, 그보다 더 막강한 권력을 갖고 있었다.
약 19만 명의 병력읕 거느린 IRGC는 육군, 해군, 공군, 준군사조직, 그리고 특수부대인 쿠드스로 구성되어 있다. 그들은 42만 명의 병력을 보유한 이란의 정규군에 비해 규모는 작았지만, 화력과 군사작전 능력 등 모든 면에서 정규군보다 훨씬 강했다. 이란의 대통령도 혁명수비대의 눈치를 보았다.
위키리크스가 폭로한 미국의 외교 전문에 따르면, 2009년 6월 모하메드 알리 자파리 IRGC 총사령관은 국가안보회의에서 태도가 불순하다는 이유로 마무드 아마디네자드 당시 대통령의 뺨을 때렸다. IRGC의 유일한 통수권자는 대통령이 아닌 이슬람 종교 최고지도자였다.
IRGC의 은밀한 사이버전략
시아파의 맹주 이란은 IRGC를 앞세워 중동 내 수니파 국가들과의 군사적 경쟁을 넘어 미국에 대한 군사작전을 수행하고 있다. IRGC는 미군이 가셈 솔레이마니 쿠드스군(특수부대) 사령관을 암살한 데 대한 복수로 2020년 1월 이라크 내 미군 기지에 탄도미사일 22발을 발사했다.
그런데 IRGC는 사이버공간에서도 미국과 전쟁 중에 있다. 물리적 공간에서의 군사작전과 다른 점이 있다면, IRGC는 직접 사이버 작전을 수행하는 것이 아니라 민간 해커들로 위장한 IRGC의 해커들을 통한 간접적 전투를 하고 있다는 점이다.
IRGC와 연계된 해커들은 민간 컴퓨터 보안회사 또는 연구소에 소속된 민간인 직원들처럼 행세하며 IRGC에 이익이 되는 일들을 사이버공간에서 은밀히 수행하고 있다. 물론, 이란 정부에 직접 고용된 사이버 전사인지 아니면 프리랜서 해커이면서 자신들의 작전 결과에 따른 보상을 받는 방식인지 모호함은 있다. 그럼에도 분명한 사실은 이들 이란 해커들의 불법적 행위가 이란 정부, 특히 IRGC에 큰 이득을 가져다주는 사이버 전쟁의 한 형태라는 점이다.
전쟁의 시작…DDoS 공격(2011~2013)
IRGC의 초기 사이버 전쟁은 이란 내 두 개의 민간 컴퓨터 보안회사인 ITSec Team과 Mersad가 주도했다. 2011년 초 설립된 Mersad는 유명 이란계 해커그룹인 Sun Army와 Ashiyane Digital Security Team에서 활동하는 전문 해커들로 구성되어 있었다.
민간회사 직원으로 위장한 두 회사의 사이버 전사들은 리더와 조직책으로 나뉘어 움직였다. 이란 해커 조직의 리더는 디도스(DDoS, 분산 서비스 거부) 공격을 위한 사이버 작전 전반을 진두지휘하고, 조직책들은 세부 전투를 위한 좀비PC를 확보했으며, 확보된 엄청난 수의 좀비PC들로 봇넷을 구성했다. 그리고 해커들은 자신들의 봇넷을 통제하기 위한 지휘통제시스템(C&C)도 구축했다. 즉, 그들은 각각의 임무를 통해 과도한 트래픽을 발생시켜 공격 대상의 서버를 무력화시키는 디도스 공격을 위하여 중앙집권적 통제 시스템과 부대를 갖추었던 것이다.
IRGC의 해커들의 공격은 2011년 12월부터 시작되었다. 이란 해커의 C&C는 봇넷을 조종하여 미국의 금융 기관과 회사의 서버를 마비시켰다. 이때 사용된 방식은 서버의 용량을 초과하는 양의 트래픽을 보내는 디도스 공격이었다. 세계 경제의 중심인 뉴욕 월가를 대표하는 주식거래시장, 나스닥, 아메리칸 익스프레스, 뱅크오브아메리카, 캐피탈원, US뱅크, 시티뱅크, 체이스뱅크, 유니온뱅크 등의 수많은 국가 금융기관과 민간 금융회사의 서버가 공격의 주요 대상이었다.
공격은 최초 10개월간 산발적으로 발생했고, 2013년 5월 종료될 때까지는 반복적으로 자주 일어났다. 이란 해커들은 피해를 높이기 위해 회사 관계자와 고객들이 서버를 많이 이용하는 평일(화~목) 근무시간을 집중 공략했다. 당시 한 민간 금융회사의 경우 봇넷에 의한 조직적 공격으로 자사의 서버에 초당 140기가바이트 정도의 데이터가 유입되었다고 한다. 이는 서버 용량을 최대 3배 넘는 수치였다. 이란 해커의 공격기간인 3년 동안 일수로는 총 176일간 공격이 이루어졌고, 수백만 명의 고객들이 큰 불편을 겪었다. 당시 공격을 받은 금융기관과 회사들이 서버에 대한 방어와 복구에 쓴 직접적 비용만도 한화로 수백억 원에 달했다.
국가 주요 기반시설도 공격 실시
한편, ITSec Team은 미국 금융권에 대한 디도스 공격뿐만 아니라 국가 주요 기반시설에 대한 공격도 실시했다. IRGC의 해커는 2013년 8월 28일 불법적으로 뉴욕 북쪽에 위치한 보먼 애비뉴 댐(Bowman Avenue Dam)의 제어시스템에 원격으로 접속하는 데 성공하여 그 다음 달 18일까지 주기적으로 시스템을 드나들었다. 그 제어시스템으로 댐의 수위와 수문을 통제할 수 있었기에 큰 인명피해를 일으킬 수 있는 상황까지 간 것이다.
| |
그나마 다행히도 댐을 관리하는 주체가 우연하게도 해커의 사이버 침투 바로 직전에 댐의 보수를 이유로 수문과 수위 조절이 수동으로 조작되도록 변경시켜 두었었다. 즉, 당시 이란 해커들은 원격 제어시스템에 대한 권한을 얻었지만, 수동으로만 조작되는 수문 개방과 수위 조절을 온라인상에서 변경할 수 없었기에 직접적인 물리적 피해로 연결시킬 수 없었다. 보먼만 댐의 시스템 복구에는 약 3만 달러(약 3400만 원) 정도의 비용이 들었다.
초기 IRGC의 사이버 공격에 따른 금융권 마비와 국가기반시설의 침투는 미사일에 의한 공격과 같은 물리적 타격과 겉은 달랐지만, 그 결과로 인한 금전적, 그리고 심리적 피해 규모는 전혀 다르지 않았다. 그런데 시간이 지나며 IRGC의 사이버 전쟁의 공격 목적과 방식은 변하고 있었다.
| |
필자 박동휘 소령은 육사 61기로 졸업·임관 후 美 워싱턴대에서 사이버전쟁과 전략에 관한 연구로 박사 학위를 받았다. 현재 육군3사관학교 군사사학과 학과장으로 근무하고 있다.