러시아가 정당하지 않게 우크라이나에 침공한 비극을 일으킨 2월 말 이후, 러시아의 병력이 우크라이나로 진군했지만 우크라이나 국민의 저항으로 물러나고 마는 모습을 전 세계가 주의 깊게 지켜보았습니다. 이와 유사하게 러시아에서 사이버 공격 활동이 상당히 많이 이루어지기도 했습니다. Cloudflare는 우크라이나 정부, 미디어, 금융, 비영리 웹 사이트를 더욱 많이 보호하기 위해 지속적으로 노력하고 있고, 우크라이나의 최상위 도메인(.ua)을 보호해 우크라이나가 계속 인터넷 상에서 활동할 수 있도록 도왔습니다.
이와 동시에, Cloudflare는 러시아 인터넷 상의 유의미하고 전례 없는 활동을 주의 깊게 관찰해 왔습니다. 러시아 정부는 자국 인터넷의 기술적 구성 요소와 내용 모두를 더욱 강하게 통제하려고 조치를 취해 왔습니다. 러시아 국민들은 완전히 다른 활동을 벌이고 하고 있습니다. 이들은 글로벌 인터넷에 계속 액세스할 수 있도록 도구를 도입하고 있으며, 러시아에서 제공되지 않는 언론매체를 찾고 있습니다. 이 블로그 포스트에서 Cloudflare가 무엇을 관찰했는지 간략히 확인하실 수 있습니다.
러시아 정부, 인터넷을 통제하다
지난 5년간, 러시아 정부는 러시아 ISP에 장비를 설치하게 하여 정부에서 인터넷 활동을 모니터링하고 차단할 수 있도록 하고, ICANN 외의 러시아 전용 DNS를 설치하도록 하는 등 러시아 국경 안에서 독립적인 인터넷을 더욱 강력하게 통제하려고 여러 조치를 취했습니다. 러시아 정부는 이를 통해 러시아의 글로벌 인터넷 연결 방식을 통제할 체계를 마련할 수 있었으며, 원한다면 인터넷을 차단할 수 있게 되었습니다.
러시아의 우크라이나 침공 이후로 러시아 정부는 독립적 인터넷 법의 시행에 관련된 내용을 여러 차례 발표했습니다. 러시아 정부 기관은 러시아 DNS 서버로 교체하고, 공개 리소스를 러시아 호스팅 서비스로 이전하며, 러시아 외부 공급자에 대한 의존도를 줄이려고 고안된 여러 조치를 취하라는 지시를 받았습니다. 이러한 조치를 글로벌 인터넷에서 벗어나고자 하는 러시아의 선언이라 받아들인 경우도 있지만, 아직까지 러시아는 글로벌 인터넷에서 러시아를 완전히 분리하기 위해 도구를 활용하고 있지는 않은 것 같습니다. 러시아의 인터넷은 아직도 러시아 이외의 인프라를 통해 성공적으로 연결되고 있습니다.
그동안 러시아 당국은 못마땅한 웹 사이트나 사업자를 차단하는 여러 표적 조치를 도입하고 있습니다. 러시아 당국은 처음에 Facebook, Instagram, Twitter와 같은 유명 소셜 미디어 사이트와 국외에 위치한 러시아어 사이트를 목표로 삼았습니다.
차단 조치 전후로 러시아와 우크라이나의 서로 다른 뉴스 웹 사이트로 접속하려는 러시아 사용자의 트래픽을 통해 이러한 일부 조치의 영향을 확인할 수 있습니다.
이 경우, 이와 같은 뉴스 사이트로 향하는 트래픽은 우크라이나 침공이 일어난 2월 24일 이후 기하급수적으로 늘었습니다. 그런데 며칠 만에 이러한 사이트로 향하는 트래픽을 차단하는 조치가 취해졌습니다. 이와 같은 차단 조치의 효과는 첫 몇 주 동안에는 서로 달랐지만, 결국 기존 인터넷 채널에서 이러한 뉴스 매체에 액세스하지 못하도록 막는 데 성공한 것으로 보입니다.
하지만 이게 다가 아닙니다. 러시아 정부가 기존 채널을 통한 인터넷 액세스를 통제하기 위한 조치를 취하면서, 다수의 러시아 사람들은 다른 방식으로 인터넷을 사용하게 되었습니다.
러시아 국민, 개방형 인터넷에 액세스할 도구를 사용하다
인터넷 액세스를 통제하고 모니터링하는 러시아 정부의 일부 체계를 피해, 러시아 사람들은 인터넷 비공개 접속을 제공하는 애플리케이션과 도구를 도입하기 시작했습니다. 세계 대부분 지역에서는 3월의 Apple 앱스토어 인기 애플리케이션 순위에 소셜 미디어 및 게임 관련 앱이 위치하고 있었지만, 러시아는 크게 달랐습니다.
3월에 러시아에서 인기가 가장 많았던 상위 앱은 모두 비공개 보안 인터넷 액세스 앱이거나 암호화 메시징 앱이었으며, Cloudflare의 WARP / 1.1.1.1(비공개 기반 재귀 DNS 확인자)도 가장 많이 다운로드된 앱이었습니다. 이러한 인기 앱 순위는 세계의 다른 모든 국가와 크게 다릅니다.
WARP(1.1.1.1)의 인기는 상당했고 중요했습니다. Cloudflare는 WARP의 인기 덕분에 왜 이런 일이 일어났는지 인사이트를 자세히 파악할 수 있었습니다. 2월 초를 보면, Cloudflare의 WARP 도구가 러시아에서 많이 사용되지 않았음을 확인할 수 있습니다. 전쟁 발발 이후 첫 주말부터 WARP 사용량이 늘어나기 시작해, 2주 전 최고점에 도달했습니다. 이후 온라인 상에서 이러한 보안 도구를 사용하기 시작하자 인터넷에 안전하게 액세스하는 데 사용되는 앱에 대한 액세스를 차단하려는 시도가 확인되었습니다.
최고점과 비교했을 때 사용량은 줄어들었지만, 아직도 많은 러시아 사람들은 Cloudflare WARP를 전쟁 이전보다 훨씬 많이 사용하고 있습니다.
러시아인이 비공개, 암호화된 연결을 주로 이용해 인터넷을 사용하는 상황과 더불어, 액세스하려는 대상도 바뀌었습니다. 다음은 유명 미국 신문사에 대한 러시아 사용자의 DNS 요청을 나타낸 표입니다. 이 사이트로 향하는 DNS 트래픽은 전쟁 전과 비교해 최근에 5배 증가했으며, 러시아 사람들이 이 뉴스 매체에 액세스하고 있다는 점을 나타냅니다.
다음은 대형 프랑스 뉴스 매체에 대한 DNS 트래픽입니다. 이곳도 러시아인들이 액세스를 시도하여 DNS 조회 수가 크게 증가하였습니다.
영국의 신문사 데이터도 있습니다.
이 세 차트로 명백히 상황을 파악할 수 있습니다. 러시아 사람들은 러시아에서 제공하지 않은 언론 매체를 이용하고 싶어하며, 비공개 인터넷 액세스 도구와 VPN의 인기로 미루어 보면, 이를 위해 기꺼이 노력하고 있습니다.
사이버 공격의 최전선
러시아 일반 시민들에게 제공한 서비스와 더불어, Cloudflare는 러시아 내 인터넷 에지 서버를 통해 러시아발 공격을 감지하고 차단할 수 있었습니다. 러시아 내에서 공격이 완화된다면 이 공격은 러시아 국경 밖으로 나올 수 없습니다. 이러한 사이버 공격(특히 DDoS 공격)이 다른 곳으로 퍼지기 전에 지역 내에서 파악하고 차단하는 것은 언제나 Cloudflare 분산 네트워크의 과제 중 하나입니다.
다음은 2월 초 이후 러시아 내에서 시작해 Cloudflare가 차단한 DDoS 활동을 나타내는 자료입니다. 2월 동안에는 일반적인 DDoS 활동이 러시아 네트워크에서 시작해 Cloudflare 서버로 차단된 사례가 비교적 적지만, 3월 중순에 크게 증가합니다.
명확히 해 두자면, 사이버 공격 트래픽이 발원한 위치를 식별할 수 있다고 해도 공격자의 위치를 파악하는 것은 또 다른 문제입니다. 사이버 공격의 근원지를 파악하는 것은 어려운 일이며, 지금과 같은 시기에는 근원지를 특히 더 조심히 특정해야 합니다. 사이버 공격자들이 전 세계 원격 위치에서 공격을 하는 사례는 비교적 흔합니다. 이는 IoT(사물 인터넷) 손상 등으로 타국의 장치를 하이재킹할 수 있을 때 자주 발생합니다.
다만, 이러한 속임수를 감안하더라도 러시아 내 Cloudflare 서버에 도달하여 차단된 공격 수가 유의미하게 증가한 상황이 계속 확인되고 있습니다.
몇 주 전, 우크라이나 침공이 아직 초기 단계였을 때, 저는 "러시아에게 필요한 것은 더 적은 인터넷이 아닌 많은 인터넷이다."라 언급한 바 있습니다. 미국과 유럽에서 전례없는 수준으로 경제적인 제재를 가하던 시기에, 한 발자국 더 나아가 모든 외국 회사들이 러시아에서 완전히 철수해야 한다는 요구가 있었습니다. 인터넷 공급자가 러시아에 인터넷 공급을 멈추어야 한다는 요구도 있었습니다. 명확히 해 두자면, 러시아 내 Cloudflare의 영업 활동과 상업적 활동은 극히 적습니다. Cloudflare는 러시아에 법인, 사무실, 또는 직원을 둔 적이 없고, 러시아 정부에 세금이나 수수료를 지불하지 않으려는 조치를 취해 왔습니다. 하지만, Cloudflare 서비스가 인터넷의 가용성과 보안에 큰 영향을 미친다는 점을 고려했을 때, 러시아에서 Cloudflare 서비스를 완전히 제한한다면 득보다는 실이 많을 것이라 생각됩니다.
러시아에서 회사를 철수하기를 요구하는 사람들의 동기는 잘 알고 있지만, 인터넷 회사가 철수한다면 러시아 인터넷을 통제하려는 러시아 정부의 의도를 강화하고 굳건히 하여 의도하지 않은 결과를 초래할 수 있습니다. ICANN 및 RIPE를 통해 글로벌 인터넷에서 러시아를 차단하려고 시도한다면, 러시아 정부에서 원하는 대로 러시아 사람들이 우크라이나 전쟁 관련 정보에 액세스할 수 없게 할 뿐입니다. 미국에 위치한 여러 인증서 기관이 러시아 웹 사이트에 SSL 인증을 발행하지 않게 되자, 3월 초 러시아는 국민들에게 러시아의 루트 인증서 기관을 다운로드하라고 장려하는 방식으로 대응했습니다. EFF가 살펴본 바에 따르면, "서비스를 계속 이용하기 위한 러시아의 임시방편을 통해서도 현재, 그리고 향후의 러시아 활동을 감시할 수 있습니다."
전문가들은 이러한 이유로 러시아 인터넷이 러시아 사람들에게 최대한 개방되어 있어야 한다고 공통적으로 동의합니다. 다양한 시민 사회 단체가 정부의 권위주의적인 행동에 대항하는 조치를 취하고 "러시아 정부의 불법적인 행동에 대항하는 제재와 다른 조치들이 푸틴이 하고 있는 정보를 통제하려는 노력을 강화하는 방식으로 역효과를 내지 않게 할 것"을 촉구해 왔습니다. 러시아의 디지털 권리 활동가들은 러시아 사람들이 전 세계 뉴스 매체에서 소외되지 않도록 무료 VPN 액세스를 제공해 달라고 서비스 제공자에게 간곡히 부탁했습니다. 미국 국무부조차도 "러시아 사람들에게 정보가 최대한 완전하게 전달되도록 유지하는 것이 매우 중요하다"고 명시하였습니다.
더 나은 인터넷을 구축하려는 사명에 따라, Cloudflare 팀은 이러한 전개 상황을 모니터링하고, 우크라이나의 웹 자산이 언제나 보호받으며, 일반 러시아 국민들이 글로벌 인터넷에 액세스할 수 있도록 노력하며 분주히 6주를 보냈습니다. Cloudflare는 조국을 지키기 위해 일어선 용감한 우크라이나인들에게 경의를 표하며, 평화가 승리할 것을 바라고 있습니다.