헥티비즘의 부활! 경계 강화가 필요한 시기

* 해당 블로그의 원문은 2024년 6월 28일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Daniel Kapellmann Zafra, Alden Wahlstrom, James Sadowski, Josh Palatucci, Davyn Baumann, Jose Nazario

2022년 초부터 맨디언트(Mandiant)는 헥티비즘(Hacktivism) 전술과 기법을 활용하는 공격 활동이 다시 활발해지는 것을 관찰해 왔습니다. 이런 변화는 헥티비즘이 등장한 지 수십 년 만의 일입니다. 방어자들이 헥티비즘을 심각한 위협으로 고려한 지 여러 해가 지난 후 일어난 현상입니다. 새로운 세대의 헥티비즘은 여러모로 이전 세대와 다릅니다. 과거에는 단순히 웹사이트를 해킹하거나 서비스를 마비시키는 정도의 공격이 주를 이루었다면, 이제는 다양한 해킹 기법과 사회 공학 기법을 조합하여 더욱 정교하고 효과적인 공격을 수행합니다. 과거에는 특정 이념을 가진 해커 집단이 주로 헥티비즘을 수행했습니다. 그러던 것이 이제는 국가 지원을 받는 해커, 범죄 조직, 개인 해커 등 다양한 위협 행위자들이 각자의 목표를 달성하기 위해 헥티비즘을 활용합니다. 예전에는 특정 기업이나 단체를 대상으로 제한적인 공격을 수행했다면, 이제는 국가 인프라나 금융 시스템을 마비시키는 등 더욱 큰 규모의 공격을 통해 사회 전체에 큰 영향을 미치려 합니다.​

실제로 오늘날의 헥티비스트들은 네트워크 침투와 정보 작전(Information Operations) 모두에서 향상된 능력을 보여주며, 대규모 교란 공격을 실행하고, 네트워크를 손상해 정보를 유출하고, 정보 작전을 수행하며 물리적 세계의 프로세스를 조작하는 등 다양한 활동을 수행하고 있습니다. 그들은 자신의 기술을 활용해 명성과 평판을 얻고, 정치적 이념을 홍보하며, 국가의 전략적 이익을 적극적으로 지원하기도 합니다. 헥티비스트 페르소나는 익명성을 전제로 합니다. 따라서 공격자들은 자신의 정체를 숨기고 자유롭게 활동할 수 있게 해주는 '익명성'이라는 가면을 쓰고, 더욱 강력하고 복잡한 사이버 공격을 하고 있습니다. 더불어 이제는 국가나 조직뿐만 아니라 개인까지도 사이버 공간을 통해 쉽게 영향력을 행사할 수 있는 시대가 되었습니다.

이 블로그 포스팅에서는 헥티비즘 위협 환경에 대한 맨디언트의 분석 내용을 공유하며, 이러한 그룹들이 초래하는 위험 수준을 이해하고 평가하기 위한 분석 도구를 알아봅니다. 이 포스팅에서 소개하는 내용은 헥티비스트 행위자들의 활동, 주장, 공격을 수년간 추적한 경험을 바탕으로 합니다. 이 통찰을 참조하면 현재 몸담고 있는 조직의 네트워크와 자산을 노리는 위협 활동을 깊이 이해할 수 있습니다. 또한, 조직이 속한 업계 등 다양한 조건을 고려해 탐지와 대응의 우선순위를 정하는 기준을 잡는 데에도 도움이 될 것입니다.

사이버 공격 예측의 시작! 선제적인 헥티비스트 위협 모니터링

맨디언트는 공격자들이 정치적 또는 사회적 활동에 참여할 의도를 공개적으로 밝히고 공격을 주장하거나 수행하는 경우 이를 헥티비즘으로 간주합니다. 헥티비즘의 부활은 다양한 수준의 정교함을 지닌 다수의 행위자가 초래하는 위험을 선별하고 평가해야 하는 방어자들에게 큰 도전 과제입니다. 많은 경우 헥티비스트 활동이 미미한 위협을 나타내지만, 맨디언트가 추적한 가장 중요한 헥티비스트 작전에서는 위협 행위자들이 여러 전술을 혼합해 각 구성 요소의 효과가 상호 증폭되도록 의도적으로 배치했습니다. 일부 사례에서는 헥티비스트 전술이 국가 행위자들에 의해 고의로 사용되어 하이브리드 작전을 지원하여 피해자에게 심각한 피해를 줄 수 있었습니다. 활동의 양과 복잡성이 증가하고 새로운 행위자들이 헥티비스트 전술을 활용함에 따라, 방어자들은 새로 등장하거나 빠르게 진화하는 위협을 필터링하고 평가하며 무력화하는 방법을 찾아야 합니다.

헥티비스트 위협의 선제적인 모니터링은 방어자에게 다음과 같은 이점을 제공합니다.

새로운 세대의 해커티비즘: 규모와 정교함의 증가

'헥티비즘'이라는 용어는 1990년대 중반 해커 그룹인 Cult of the Dead Cow의 일원에 의해 만들어졌습니다. 원래는 정치적 또는 이념적 신념을 전달하고 대중에게 영향을 미치기 위해 공격을 수행하여 피해를 주는 '온라인 활동'을 의미했습니다. 초기에 대부분의 헥티비스트 그룹은 정부와 정치 기관을 위협하는 반체제적 활동이 동기라고 주장했습니다. 2010년대 초 Anonymous 집단과 연관된 헥티비스트들은 주로 DDoS(분산 서비스 거부) 공격에 취약한 네트워크에 영향을 미쳤으며, 이들의 활동은 언론의 주목을 받았습니다. 그러나 사이버 보안 기술이 발전하고 네트워크가 더욱 강력해지면서, 예전처럼 쉽게 해킹하거나 시스템을 마비시키는 것이 어려워졌습니다. 또한, 법적인 제재가 강화되면서 해커들이 처벌받을 위험도 커졌습니다. 이러한 변화 때문에 헥티비즘 운동이 예전만큼 활발하지 않게 되었습니다.

맨디언트는 러시아의 우크라이나 침공과 이스라엘-하마스 분쟁을 계기로 새로운 헥티비스트 그룹들이 다시 활동을 시작하는 것을 관찰했습니다. 헥티비스트들은 자신들이 특정 분쟁의 한쪽 편을 지지한다고 선언하며, 관련된 여러 조직과 정부를 공격했습니다. 이러한 공격은 분쟁 당사자들만을 목표로 삼는 것이 아니라, 국적, 상업적 관계, 혹은 반대편을 지지하는 것과 같은 이유로 느슨하게 연관된 제삼자들도 공격 대상이 되는 경우가 있었습니다. 쉽게 말해 헥티비스트들은 자신들이 지지하는 쪽을 돕기 위해 분쟁과 관련된 사람들뿐만 아니라, 그들과 약간이라도 연결된 사람이나 조직도 공격합니다.

이번 새로운 헥티비스트 활동의 물결은 과거와 특히 규모와 범위에서 차이를 보입니다. 일부 해커티비스트들은 공격을 더 효과적으로 수행하며, 자신의 위협 활동을 광고하고 대중에 영향을 미치기 위한 메시지를 병행하는 능력을 보여주었습니다. 오늘날 헥티비즘은 더 이상 반체제적 이념에 의해 동기가 부여된 낮은 능력의 행위자들로만 구성되지 않습니다. 우리는 지정학 및 금전적 동기가 있는 그룹들이 헥티비스트 페르소나를 통해 위협 활동을 은폐하려는 경향이 더 자주 나타나는 것을 관찰하고 있습니다. 헥티비스트 페르소나를 국가 차원의 활동을 위한 위장으로 사용하는 개념은 적어도 10년 전에 등장했지만, 오늘날과 비교할 수 있을 정도로 빈도와 양, 그리고 강도가 높았던 적은 없었습니다.

헥티비스트의 전략적 메시지 홍보는 정보 작전으로 이어진다!

헥티비즘은 정치적 메시지를 전달하기 위해 해킹 기술을 이용하는 행위를 말합니다. 즉, 단순히 시스템을 해킹하는 것을 넘어, 그 행위를 통해 사회에 특정한 메시지를 던지는 것입니다. 이러한 헥티비즘에서 '영향력'은 매우 중요한 요소입니다. 왜냐하면 아무리 정교한 해킹 기술을 사용하더라도, 그 행위가 많은 사람들에게 알려지지 않고 영향을 미치지 못한다면, 헥티비스트의 목적은 달성될 수 없기 때문입니다. 정보 작전(Information Operations)이라는 개념과 헥티비즘을 연결해 생각해 볼 수 있습니다. 정보 작전은 정보를 이용하여 상대방을 속이거나, 특정한 정보를 확산시켜 상황을 유리하게 만드는 것을 목표로 합니다. 헥티비즘 역시 이러한 정보 작전의 한 형태라고 볼 수 있습니다.

맨디언트는 공격자의 주장이 정치적 또는 사회적 활동을 목적으로 한다고 명시하거나 암시하는 경우 이를 헥티비즘으로 간주합니다. 헥티비즘 활동에는 페르소나 개발, 맞춤형 메시지, 그리고 종종 파괴적인 사이버 활동이라는 세 가지 주요 전술의 조합이 포함됩니다. 이러한 전술은 헥티비즘이 영향력을 발휘하는 데 중요한 요소입니다. 앞서 언급한 바와 같이 해티비즘의 부활에는 여러 요인이 기여했을 가능성이 높지만, 메시지를 전달하고 신원을 은폐하는 메커니즘은 다양한 동기를 가진 행위자들에게 헥티비스트 전술이 매력적으로 보이는 이유 중 하나일 것입니다.

헥티비스트 전술을 사용하는 행위자들은 명확한 페르소나를 통해 실제 운영자의 신원을 은폐하고, 일부 경우에는 특정 이슈나 사건에 대한 자연스러운 대중적 지지의 인상을 만들어냅니다.

헥티비스트들은 주로 소셜 미디어나 자신들이 운영하는 웹사이트 같은 온라인 채널을 통해 자신들의 메시지를 홍보합니다. 때로는 그들이 하는 공격 자체가 메시지를 전달하는 수단이 되기도 합니다. 예를 들어 거짓 정보나 조작된 데이터를 '유출된 자료'로 가장해 퍼뜨리거나, 중요한 정치나 문화적 사건과 동시에 서버를 마비시키는 대규모 DDoS 공격을 하는 방식으로 메시지를 전달합니다. 또한, 이들이 목표로 삼는 대상이나 큰 사건에 대한 주장을 통해 주요 언론의 관심을 끌려는 전략도 자주 사용됩니다

맨디언트는 행위자의 동기, 능력, 또는 효율성에 대한 결론을 내리기 전에 그룹의 메시지, 주장, 그리고 사용할 수 있는 독립적인 증거를 신중하게 분석하는 것이 중요하다고 강조합니다. 헥티비스트 전술은 이러한 행위자들이 자신의 행동의 영향을 과장하거나, 그렇지 않으면 부정확하거나 완전히 조작된 주장을 하도록 동기를 부여할 수 있기 때문입니다. 헥티비스트 페르소나와 그들의 행동의 영향을 제대로 이해하려면, 다른 행위자들과의 커뮤니케이션 맥락에서 지속적인 분석이 필요합니다. 일부 경우에는 확실한 증거를 확보하는 것이 불가능할 수도 있습니다.

지정학적 동기를 가진 해커티비스트들은 종종 국가의 전략적 목표를 증진합니다

헥티비스트들이 사용하는 전략과 정보 작전은 서로 겹치는 부분이 많습니다. 이 때문에 지정학적 동기를 가진 헥티비스트들은 종종 국가의 목표를 돕는 역할을 합니다. 대부분의 헥티비스트는 독립적으로 활동할 가능성이 높지만, 최근에는 국가가 지원하는 사이버 스파이 그룹과 밀접한 관계가 있는 해커들도 등장하고 있습니다. 쉽게 말해 일부 해커들은 국가의 이익을 위해 활동하거나, 국가와 협력해 중요한 목표를 공격하는 경우가 늘어나고 있다는 것입니다.

국가와 연관된 지정학적 헥티비스트들

일부 국가가 지원하는 해커들은 자신들의 활동을 감추기 위해 헥티비스트 페르소나를 사용하거나 이들과 연계합니다. 헥티비스트 페르소나는 국가가 사이버 공격을 저질렀다는 사실을 숨기고 부인할 방법을 제공해 줍니다. 이렇게 하면 본래 은밀하게 진행되었을 행동이나 메시지를 공개적으로 전달할 수 있게 됩니다. 이런 경우 헥티비스트들이 전하는 메시지가 특정 사건이나 주제에 시선을 끌고 실제로 물리적 영향을 미칠 수 있습니다. 이 가짜 정체성을 사용하면 국가가 관련된 사건이나 이슈에 대해 직접적인 위협을 가할 수 있고, 제삼자에게도 위협을 확장할 수 있습니다. 또한, 헥티비스트 페르소나는 자원이 풍부한 행위자들이 지속적으로 사용할 수 있는 자산을 개발하고, 원하는 대중에게 메시지를 효과적으로 전달할 수 있는 브랜드를 구축할 수 있는 능력을 제공합니다.

• 2024년에 맨디언트는 러시아 군사 그룹인 APT44(일명 Sandworm, FROZENBARENTS, Seashell Blizzard)가 헥티비스트 페르소나를 자산으로 활용하여 일련의 전시 교란 작전에 대한 책임을 주장하고 성공적인 교란 서사를 증폭한 사례를 설명한 보고서를 발표했습니다.
• 또한, 공개된 정보에 따르면 친이란 헥티비스트 그룹 CyberAv3ngers는 미국 정부가 이란 혁명수비대(IRGC)와 연관 지은 바 있으며, 이란 정부는 친이스라엘 헥티비스트 그룹 'Gonjeshke Darande'(Predatory Sparrow)가 이스라엘과 연관되어 있다고 주장했습니다.
• 2014년 소니 픽처스 엔터테인먼트를 타겟으로 한 상징적인 공격은 국가들이 헥티비스트 브랜드를 활용해 사이버 위협 활동에 참여한 사례를 보여줍니다. 이 공격에서 Guardians of Peace(#GOP)라는 가짜 헥티비스트 그룹이 소니의 인프라를 삭제하고 대량의 기밀 정보를 유출했습니다. 참고로 이 공격은 미국 연방수사국(FBI)에 의해 북한 정부의 소행으로 밝혀졌습니다.

독립적으로 활동할 가능성이 있는 지정학적 헥티비스트들

최근 활동하는 여러 헥티비스트 그룹은 자신들이 특정 국가의 이익을 위해 행동한다고 공개적으로 주장하지만, 이것이 모든 그룹이 그 국가와 직접적으로 연관되어 있다는 의미는 아닙니다. 일부 헥티비스트들은 독립적으로 활동하는 것처럼 보이지만, 자신들이 지지하는 국가나 정치 단체의 지도자들이 내세운 정치적 목표에 따라 행동합니다. 이 경우 국가 지도부가 직접 지시하지 않더라도, 헥티비스트들이 그 국가의 목표를 돕는 역할을 할 수 있습니다. 쉽게 말해, 이 해커들은 자발적으로 국가의 이익을 위해 움직이는 경우도 있다는 뜻입니다.

• 예를 들어 2022년 6월 18일 리투아니아는 유럽 제재 대상 상품의 러시아 최서단 칼리닌그라드로의 철도 운송을 금지했습니다. 이 금지 조치 이후 러시아 지도부가 리투아니아의 행동에 대한 결과가 있을 것이라고 경고한 뒤, 친러시아 헥티비스트 그룹들은 리투아니아의 여러 부문에 대한 공격을 발표했습니다. 이 공격은 양국이 합의에 도달할 때까지 계속되었습니다.

• 일부 경우에는 오랜 기간 지속되거나 시간이 지남에 따라 다른 그룹에 의해 부활하는 캠페인이 관찰되기도 합니다. 이러한 사례로는 매년 이스라엘을 타겟으로 한 헥티비스트 활동을 포함한 #OpIsrael 캠페인이나, 쿠드스의 날과 같은 중동의 명절과 연관된 헥티비스트 활동이 반복적으로 증가하는 현상을 들 수 있습니다. #OpIsrael은 적어도 2013년부터 시작되어 매년 이스라엘을 겨냥한 다양한 헥티비스트 활동을 포함하게 되었습니다.

전망

10여 년 전에 활동했던 초기 헥티비스트들과 비슷한 점도 있지만, 현재의 헥티비스트들은 더 복잡하고 빠르게 변화하고 있습니다. 이 새로운 헥티비스트들이 어떻게 다양한 사이버 위협과 상호작용하고 있는지는 아직 충분히 분석되지 않았습니다. 현대 헥티비스트들은 여러 동기를 가지고 있으며, 사이버 공격과 정보 조작과 같은 다양한 기술을 사용합니다. 각 해커 그룹은 자신만의 기술을 사용하며, 그들의 목표는 자신의 이념을 지지하거나, 지정학적 사건에 영향을 미치거나, 금전적 이익을 얻는 등 다양한 방식으로 나타납니다.

방어자들은 헥티비스트 활동들이 어떻게 운영되고, 어떤 기술을 주로 사용하며, 어떤 방식으로 이루어지는지 선제적으로 파악해야만 효과적으로 이들을 방어할 수 있습니다. 그러나 헥티비스트들이 여러 분야에서 다양한 기술을 혼합해 사용하기 때문에, 보안 커뮤니티가 개별적으로 추적해 온 방식들로는 충분히 대응하기 쉽지 않습니다. 맨디언트는 이 문제를 후속 블로그 게시물에서 더 다룰 예정입니다.

이와 다른 유형의 위협 활동으로부터 보호하기 위한 일반적인 완화 전략에 대한 추가 지침은 다음 문서를 참조하세요.

• 파괴적인 공격에 대비한 사전 준비 및 강화
• 악성 코드 및 파괴적인 공격으로부터 보호하기 위한 리눅스 엔드포인트 강화
• 분산 서비스 거부(DDoS) 보호 권장 사항 

부록: 해커티비스트 행위자들이 사용하는 일반적인 사이버 교란 기술