(자료=미국 국토안보부 컴퓨터긴급대응팀 (Image courtesy of US-CERT))
오바마 행정부가 이례적으로 러시아의 미 대선 개입 의혹에 대한 조사 결과를 상세히 공개했다. 정보요원으로 추측되는 러시아 외교관 35명을 추방하고, 러시아 측 이용시설 2곳을 폐쇄하는 등 미국이 초강경 조치를 취한데 대한 근거를 제시하기 위한 행동으로 풀이된다.
그렇다면 러시아는 미국 민주당 고위 인사의 이메일을 어떻게 해킹했을까. 미국 국토안보부(DHS)와 연방수사국(FBI)이 현지시간으로 29일 공개한
합동 분석 보고서에 따르면, 작전명 '그리즐리 스텝'(Grizzly Steppe; 스텝지대 회색곰)으로 불리는 러시아 측의 해킹 시도는 지난해 여름에 이뤄졌다.
러시아 측 정보기관은 'APT29'로 명명된 해킹그룹을 활용해 지난해 여름 미국의 합법적 기관으로 가장한 도메인을 이용, 악의적 링크와 맬웨어가 담겨있는 이메일을 1000여명에게 발송했다. 이 가운데 일부는 미국 정부 관계자도 포함돼 있는 것으로 파악됐다.
조사보고서는 APT29가 지인이나 업체를 가장한 이메일을 발송하는 이른바 스피어피싱(spearphising) 기법으로 미국 민주당의 컴퓨터 시스템을 감염시키는데 성공했으며, 시스템에 침투한 맬웨어를 통해 몇몇 계정에서 이메일을 유출시켰다고 밝혔다.
이어 올해 봄에는 해킹그룹 'APT28'이 미국 민주당 컴퓨터 시스템으로 침투했다. 같은 스피어피싱 기법이 쓰였지만, 이번에는 이메일 수신자가 가짜 웹메일 도메인에서 비밀번호를 변경하도록 속였다.
이런 수법을 통해 수집한 자격증명으로 APT28은 민주당 고위 인사들의 콘텐츠에 접속해 이를 훔쳐갈 수 있게 됐고, 결국 정보 누출로 이어졌다고 보고서는 분석했다. 누출된 정보는 언론에 유출되거나 일반에 공개됐다.
힐러리 클린턴 대선 캠프 선대본부장인 존 포데스타 등 고위 인사의 이메일을 위키리크스 등에 흘려 폭로하는 방식으로 힐러리 측을 교란시키고, 트럼프 후보를 돕기 위한 작전이라는 것.
보고서는 러시아 정보기관에 연루된 조직의 스피어피싱을 통한 해킹 시도는 대선이 끝난 직후인 올 11월에도 이뤄졌다고 적시했다. 또 이들 해킹 그룹의 뒤에는 러시아 군 총정보국(GRU)과 러시아연방보안국(FSB)이 있는 것으로 미 정보당국은 파악하고 있다.
또 미 국토안보부의 컴퓨터 긴급대응팀은 러시아 측이 민주당 전국위원회와 민주당 의원 선거 위원회 뿐 아니라 미국의 싱크탱크와 대학, 기업 등에서도 해킹을 시도했다고 밝히고, 상세한 침해지표(Indicatiors of Compromise)와 악성코드 시그니처(Yara Signature) 등을 공개했다.
한편, 러시아 당국은 해킹을 통한 미국 대선 개입 의혹을 강력히 부인하고 있으며, 미국의 외교관 추방 등 보복조치에 대한 맞대응을 준비 중이라고 밝혀 긴장감이 고조되고 있다.
이런 가운데 그동안 중국의 사이버 공격과 산업스파이 행위 등을 맹비난해왔던 트럼프 미국 대통령 당선자가 이번 러시아 해킹 사태에 어떤 태도를 보일지 관심이 집중되고 있다.
트럼프 당선자는 오바마 행정부의 보복조치에 대해 "지금은 우리나라(미국)가 더 크고 더 나은 것을 향해 움직여야할 시간"이라며 부정적인 입장을 우회적으로 피력했지만, "다음주 정보당국의 수장들을 만나, 현 상황에 대한 사실관계를 확인할 것"이라고 여지를 남기기도 했다.
그는 하루 전인 28일에는 "컴퓨터가 우리 삶을 매우 복잡하게 만들었다. 컴퓨터 시대에는 누구도 정확히 무슨 일이 일어나고 있는 건지 모른다"며 러시아에 대한 비판을 회피하는 모습을 보이기도 했다.