트렌드

시리아 내전, 뒷면은 ‘디지털 최전선’

2015.02.03

여 : 안녕. 스카이프 폰으로 쓰니?
남 : 컴퓨터랑 폰으로. 몇 살이야?
여 : 25살. 너는?
남 : 생일이 언제야?
여 : 88년 10월3일.
남 : 헐 ㅋㅋㅋㅋㅋ 난 89년 10월3일.
여 : 대박이다.
여(님이 사진을 보냈습니다)
남 : 너 쩐다.

어떤가. 언뜻 보면 남성과 여성이 채팅으로 ‘썸타는’ 것처럼 보인다. IT 기사에 왜 이런 걸 쓰냐고 묻는다면 알려드리겠다. 남자는 시리아 반군이다. 여자는 해커다. 끈적한 대화가 오가는 것처럼 보인 채팅창은 사실 사이버 전쟁이 벌어지는 전선이었다. 눈치재지 못 했다고 자책할 필요는 없다. 저 채팅창에 있던 남자도 몰랐으니까.

총칼만으로는 전쟁을 할 수 없는 시대다. 전쟁에도 IT가 쓰인다. 많은 정보기술이 전쟁 속에서 태어나기도 한다. 컴퓨터와 인터넷, GPS는 애초에 군사용도로 만들어진 기술이 민간 영역에도 퍼져나온 예다. 전장에서도 IT가 쓰이기 때문에 사이버 전쟁도 일어난다.

보안회사 파이어아이는 지난 2월2일 시리아 반군을 상대로 정보전을 벌여 군사정보를 수집한 해킹 활동을 폭로했다. 글 머리에 예로 든 대화는 파이어아이가 ‘시리아 내전 디지털 최전선의 뒷면’ 보고서 12쪽에 공개한 실제 공격 장면이다.

해커는 매력적인 여성으로 위장해 시리아 반군에 접근했다. 반군이 스카이프 채팅 초대에 응하면 해커는 지능적으로 정보를 모았다. 그가 어떤 기기로 스카이프에 접속했는지 물어본 건 그 기기에서 작동하는 악성코드를 보내기 위해서다. 해커는 스카이프 프로필에 나온 생일을 보고 한 살 어린 척하며 친밀감을 쌓고 자기 사진이라며 파일을 보냈다. 파일을 열자 여성의 사진이 떴다. 남자는 사진을 보고 “쩐다”라고 감탄사를 내뱉지만 사진창 뒤에서는 악성코드가 컴퓨터에 숨어들어가고 있었다. 사진을 여는 순간, 그 컴퓨터는 해커 손아귀에 들어갔다.

이제 그 컴퓨터는 시리아 반군 정보를 쏟아내는 구멍이 됐다. 해커는 컴퓨터에서 작전 계획부터 병력과 화기 현황, 보급 계획, 전사자 명단까지 다양한 군사 정보를 빼돌렸다. 컴퓨터에 보관 중인 문서 파일은 물론이고 3만건이 넘는 스카이프 채팅 기록까지 뒤졌다. 반군이 스카이프로 소통하며 작전 계획을 세웠기 때문이다.

시리아 반군을 노린 해커가 보낸 악성코드가 작동하는 원리 (시리아 내전 디지털 최전선의 뒷면 19쪽)

▲시리아 반군을 노린 해커가 보낸 악성코드가 작동하는 원리(자료 : 시리아 내전 디지털 최전선의 뒷면 보고서 19쪽)

채팅만 이용한 건 아니다. 해커는 바랴르 알아사드 시리아 대통령에 반대하는 사람이 주로 갈 만한 웹사이트를 만들어 악성코드를 심어뒀다. 또 여성 페이스북 계정을 만들고 프로필 안에 악성코드를 내려받는 웹주소를 적었다. 이런 작전은 시리아 바깥 서버를 통해 이뤄졌다.

해커는 반군 병력뿐 아니라 다양한 정보원을 공략했다. 내전 중인 시리아를 도우러 온 자선단체와 언론인도 공격 대상으로 삼았다. 시리아 인접 국가에서 활동 중인 이들도 현지에서 활동하기 위해 다양한 정보를 수집하기 때문이다.

파이어아이는 보안 위협을 연구하던 중 시리아 반군에게서 유출된 정보를 발견했다고 밝혔다. 이들이 수집한 데이터는 7.7GB에 이른다. 파이어아이는 2013년 5월부터 2014년 1월 사이에 유출된 64개 스카이프 계정 정보, 3만1107개 대화에서 주고받은 24만381개 메시지, 1만2356개 연락처를 손에 넣었다.

파이어아이가 발견한 증거 중에는 시리아 남부 키르베트 가잘레 마을 공격 계획도 있었다. 반군 지역이었던 키르베트 가잘레 마을은 2013년 5월부터 시리아 정부군 주둔지가 됐다. 반군은 그 뒤로 마을을 되찾지 못했다.

보안회사 파이어아이가 입수한 시리아 반군 작전계획. 빨간 테두리로 시리아 정부군 방어선을 표시하고 주변에 공격 거점을 표시해뒀다 (시리아 내전 디지털 최전선의 뒷면 8쪽)

▲파이어아이가 입수한 시리아 반군 작전 계획. 빨간 테두리로 시리아 정부군 방어선을 표시하고 주변에 공격 거점을 표시해뒀다(자료 : 시리아 내전 디지털 최전선의 뒷면 보고서 8쪽)

파이어아이는 시리아 반군을 노린 해킹이 누구 소행인지까지는 알아내지 못했다. 다만 레바논과 관련이 있을 가능성이 크다는 해석을 내놓았다. 시리아 알아사드 정권은 시아파인데, 레바논 무장단체 헤즈볼라 역시 시아파이기 때문에 이들이 서로 지원하는 관계일 수도 있다는 뜻이다.

반군을 노린 해커가 사용한 공격 기법은 헤즈볼라가 쓰는 정보전 수법이다. 시리아 정보기관에서 유출된 문건에 따르면 헤즈볼라는 ‘인터넷·소셜미디어 활동가를 위한 훈련 과정’이라는 3일짜리 연수 프로그램을 운영했다. 여기서는 정보전 부대를 꾸리고 SNS에 가짜 정보를 뿌려 반군을 혼란에 빠뜨리는 방법을 가르쳤다. 여성으로 위장해 적이나 활동가를 꾀어내는 수법도 교육 과정에 있었다.

파이어아이는 해킹 배후가 시리아 알아사드 정권이라고 콕 집어 말하지는 않았다. 다만 해커가 빼돌린 정보가 시리아 정부군 손에 들어가면 군사적으로 매우 유용했을 것이라고 에둘러 평했다.

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0