국제 제재 무용론 바로잡기
- 해커들은 국제 제재로 인해 어떤 변화를 겪을까?
- 해커들은 국제 제재 때문에 공격을 못하게 될까?
- 효율이 떨어진 공격, 비용이 높아진 공격...제재 효과 없지 않아
국제 제재는 사이버 공격 조직에 실질적인 타격을 줄 수 있을까? 제재를 아무리 해봐야 해커들은 눈 하나 깜빡하지 않는다는 항간의 소문은 사실일까? 영국의 국방 및 보안 싱크탱크인 로얄유나이티드서비스인스티튜트(Royal United Services Institute, RUSI)가 이 문제를 파고들었다. 그리고 결론까지 냈다. “사이버 공격을 완전히 막지는 못하지만, 공격 비용을 의미 있게 높일 수는 있다”고 말이다.
해커 겨냥 제재, 어떤 의미인가?
국제 제재는 미국과 영국, 유럽연합이 특히 잘 사용하는 수단이다. 이들은 APT 조직들을 응징하기 위해 여러 가지 수단을 양지와 음지에서 활용하는데, 그 중 가장 공식적이면서 외교적 무게감이 큰 것은 제재라고 할 수 있다.
“제재는 해커들 자체를 표적으로 삼는 게 아니라, 해킹 공격을 수행할 때 필요한 외부 요소들과의 고리를 끊어놓는 것입니다. 그래서 제재에 걸린 해커들은 암호화폐 믹서나 호스팅 서비스를 이용하기 힘들어지는 등의 곤란을 겪습니다. 은행도 이용 못하고, 그 누구와도 계약을 맺을 수 없게 됩니다. 사실상 고립시킴으로써 작전을 수행할 수 없게 하는 겁니다. 해커들이 아무리 음지에서 활동한다 하더라도, 합법적인 세계 경제 시스템에 의존한다는 사실은 변함이 없기 때문에 제재가 효과를 본다고 할 수 있습니다.” RUSI 측의 설명이다.
여기서 말하는 제재의 효과는 ‘공격 비용 증가’다. 합법적인 암호화폐 믹서 서비스를 이용할 수 없으므로 비공식 서비스를 음지에서 찾아야 하는데, 알맞은 거래처를 찾기도 힘들 뿐더러 보통은 가격이 높게 형성돼 있다. 호스팅 서비스도 다크웹에서 찾아야 하는데, 아무래도 다크웹에는 사기꾼들이 득실거리고, 제대로 된 통제 장치가 없기 때문에 신뢰하기가 힘들다. 신뢰할 만한 파트너를 찾는 것도 일이고, 찾는다 하더라도 보통은 비용이 높기 때문에 거래를 성사시키는 것도 쉽지 않다.
하지만 공격 인프라와 파트너십, 조력자를 갖추는 게 어렵긴 해도 불가능한 건 아니다. 분명 다크웹에는 일반 공공 인터넷에서 찾을 수 있는 합법적인 기업과 서비스를 대체할 것들이 대부분 존재하긴 한다. 특히 공격 수행에 필요한 서비스나 도구라면 이미 오래 전부터 시장까지 형성하고 있을 정도다. 제재가 해킹 공격을 완전히 막지 못하는 이유가 여기에 있다.
제재, 복합적으로 활용해야 효과 높아져
RUSI는 제재가 더 놓은 효과를 내려면 단독적으로 사용되는 게 아니라 여러 가지를 복합해야 한다고 보고서를 통해 알렸다. “이를 테면 정부가 제재를 발표하면서 외교적 압박을 가하고, 동시에 용의자들을 형사 기소함으로써 해킹 조직 내 개개인이 피부로 위험함을 느끼게 하며, 수사에 참여한 모든 조직 및 전문가들에게 필요한 정보를 전파함으로써 사건 해결에 박차를 가하는 등 입체적으로 접근하면 제재가 훨씬 더 강력해집니다.”
이미 미국 정부는 이러한 전략을 충분히 활용해 오고 있다. 외교 채널을 통해 특정 국가가 해킹 공격을 했다고 발표하며 국제적 여론을 형성하면서 외교적 압박도 가하고, 동시에 법무부 기소로 개인 차원의 위협을 가하기도 한다. 미국 정부가 범죄자들에게 무시무시한 형을 선고하는 편이라는 것도 해커들에게는 내재된 공포처럼 작용할 수 있다.
“서로 다른 도구들이 시너지를 일으키곤 합니다. 제재는 특정 조직이나 인물들에 낙인을 찍는 효과를 냅니다. 기소는 낙인 찍힌 자들을 국제 사회 혹은 지역 사회에서 고립시키고요. 보안 권고는 민간 부문의 규정 준수의 중요성을 다시 한 번 상기시키며, 동시에 일부 보안 강화 효과를 가져오기도 합니다. 정부가 이렇게 대대적으로 움직이면 연루된 공격자들이 받는 스트레스는 배가 됩니다.” RUSI의 설명이다.
효과 없는 제재도 있어
하지만 모든 제재가 의도된 대로 작동하는 건 아니라고 RUSI는 강조한다. “예를 들어 자산 동결이나 여행 금지 조치의 경우, 해외의 해커들에게 큰 영향을 미치지 못합니다. 하지만 이런 조치를 취하면서 해커들의 실명을 발표한다면, 효과가 커집니다. 보통 해커들은 실명과 얼굴이 공개되는 것을 극도로 꺼리는 편입니다.”
제재 발표와 실제 적용이 너무 늦게 시작되는 것도 제재의 효과를 급감시킨다고 한다. “공격자들이 이미 가져갈 걸 다 가져가고, 이룰 걸 다 이룬 뒤에 제재가 시작된다면 아무 소용이 없습니다. 게다가 이런 늦은 제재는 많은 의혹을 불러일으키기도 합니다. 보여주기식 제재 아니냐는 의심의 소리가 불거지거든요. 늦은 제재는 상징성 외에는 큰 의미가 없다고 볼 수 있습니다.”
그런데 현재 법 시스템으로는 제재 조치가 빠르게 취해질 수 없다는 게 문제라고 RUSI는 짚었다. “누군가를 제재 대상으로 삼으려면 꽤나 복잡하고 긴 절차를 거쳐야만 합니다. 법조계 전문가들은 최대한 많은 경우의 수를 다 고려해 결정을 내리기 때문에 느릴 수밖에 없습니다. 신중에 신중을 기해야 하는 사안이라 어쩔 수가 없습니다. 최대한 엉뚱한 사람이 수배 전단지에 이름을 올리지 않도록 해야 하니까요. 하지만 그러다 보니 제재 효과가 없다시피 할 때도 부지기수입니다.”
그래서…?
제재는 해킹 공격을 막기 위한 해결책이 될 수 없다고 RUSI는 결론을 내린다. “다만 도로 위 과속방지턱처럼 공격 프로세스를 덜컹거리게 할 수는 있습니다. 제재가 있기 때문에 공격자들은 새로운 인프라에 ‘강제로’ 익숙해져야 하고, 수익을 현금화 하는 데에도 멀리 돌아가야 합니다. 이 모든 게 공격으로 인해 발생하는 수익을 낮추는 결과를 낳습니다.”
그러면서 RUSI는 북한 해커들을 예로 들었다. “북한의 해커들이 암호화폐와 금융 업계를 계속해서 뒤흔들고 있다는 소식은, 누구나 들어봤을 겁니다. 이들은 실제 금융 산업의 가장 큰 위협 중 하나로 남아 있기도 합니다. 하지만 북한이 그 많은 돈을 훔쳐 부자가 됐나요? 아니죠. 천문학적 암호화폐를 가져갔지만, 그것을 실제 자산이나 자금으로 전환하는 데 애를 먹고 있습니다. 그래서 윤택해지지 않는 것이죠.”
북한이 해커들의 눈부신 활약에도 아직 나은 형편이 되지 못한 것이야말로 제재의 효과를 단적으로 보여주는 거라고 RUSI는 설명을 이어갔다. “북한은 이미 오래 전부터 제재 대상이었습니다. 그럼에도 해커들을 적극 운영하죠. 제재는 해킹 공격을 근절시키지 못할 거라는 말이 여기서 입증됩니다. 하지만 제재 때문에 이들은 해킹 공격을 그렇게나 성공적으로 수행했음에도 여전히 배가 고픕니다. 해킹으로 인한 실익이 없는 거나 다름이 없습니다. 제재가 발휘하는 효과가 바로 이것입니다.”
이것만으로도 제재는 충분히 존재 의의를 가지고 있다고 RUSI는 결론을 내린다. “제재는 만병통치약이 아닐 뿐, 효과 없는 돌팔이 의사의 가짜 약 취급을 받기에는 억울합니다. 제재 때문에 해커들은 느려지고, 가난해지고, 무력화되기도 합니다. 그런 제재의 효과를 200% 발휘할 수 있게 해주는 또 다른 도구나 장치들을 찾아내는 게 관건입니다.”
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- Sanctions Won't Stop Cyberattacks, But They Can Still 'Bite', HelpNetSecurity, 2024년
- The 2023 Crypto Crime Report: Sanction Effects on Cybercriminal Earnings, pensamientopenal.com.ar, 2024년
- Risk Management: Cyber Risk & Sanctions Evasion in 2025, Moody's, 2024년
- What To Do Against Ransomware? Evaluating Law Enforcement and Policy Interventions, University of Twente, 2024년
문가용 기자
문가용 기자
