최근 스웨덴의 주요 온라인 서비스가 잇달아 분산 서비스 거부(DDoS) 공격을 받았다. 3월 세금 신고 기간에는 스웨덴 국세청이, 이어서 전자결제 서비스 스위시(Swish)와 전자 신원 확인 서비스 뱅크아이디(Bank-id)가 차례로 피해를 입었다.

DDoS 공격은 장난과 전쟁 사이에 존재하는 현상으로, 공격 배후를 알고 있더라도 그 성격을 단정하기 어렵다.

유럽 전역 겨냥한 해커티비스트

스웨덴뿐 아니라 네덜란드 사이버보안센터도 최근 친러시아 성향의 해커티비스트 그룹 ‘노네임057(NoName057)’이 네덜란드 내 여러 조직을 상대로 DDoS 공격을 벌였다고 밝혔다. 이들은 영국에 대해서도 다수 공격을 감행했다고 주장하고 있다.

이처럼 DDoS 공격은 특정 이슈에 대한 주목을 끌고 혼란을 조성하려는 해커티비스트의 대표 수단이다. 기술적으로도 저렴하고 간단하게 실행 가능하다. 실제로 1개월 전 유로폴(Europol)은 한 건당 100크로나(약 1만3,000원) 수준으로 공격을 대행해주던 서비스 네트워크(DDoS-for-hire)를 폐쇄했다.

일부는 정부의 비호를 받는 반(半)공식 디지털 전사일 수도 있다. 하지만 그렇다고 해서 이들을 사이버전의 일환으로 과도하게 규정하는 것도 적절하지 않다.

핵심은 피해보다 반응

사실 이런 공격으로 인한 직접적인 피해는 크지 않다. 예를 들어, 스위시나 뱅크아이디가 몇 시간 동안 멈췄다고 해서 사회 전체가 마비되지는 않는다.

문제는 그에 대한 사회의 반응이다. 디지털 사회의 취약성이나 서비스 의존 리스크를 반복적으로 지적하는 일부 여론은 공격자들이 의도한 메시지를 대신 전파하는 결과를 낳는다. 결국 피해자 책임론으로 연결되기 때문이다. 실제로 서비스 업체가 빠르게 시스템을 복구했음에도, 마치 모든 IT 예산을 클라우드플레어(Cloudflare)에 쏟지 않는 이상 공격을 막지 못한 책임이 있는 듯한 분위기가 형성된다.

비유하자면, 기후운동가들이 도로를 점거하거나 활주로를 막는 시위가 벌어진다고 해서 교통당국이나 공항에 책임을 묻지 않듯, 디지털 서비스에도 같은 기준이 적용되어야 한다.

미디어의 역할과 시민 대응

다행히 스웨덴 주요 언론은 이런 공격에 대해 더욱 맥락 있는 보도를 시도하고 있다. 서비스 장애를 빠르게 알리는 동시에, 보안 전문가를 통해 배경과 영향을 분석하는 흐름이 생기고 있다. 이는 공황을 줄이고, 공격자가 노리는 사회적 동요를 억제하는 데 효과적이다.

물론 악의적인 국가 주도의 사이버 공격 가능성은 논의되어야 한다. 그러나 현실적으로는, E4 고속도로 위 시위자처럼 대응하는 것이 최선이다. 불편하거나 짜증날 수는 있지만, 도로가 다시 열리면 그대로 주행을 계속하면 된다.

그 이상 격한 반응은 결국 해커티비스트의 전략에 말려드는 것이다.
dl-itworldkorea@foundryco.com