토요일 아침 테헤란에 공격이 가해졌을 때, 수백만 명의 이란인들은 휴대폰으로 이상한 알림을 받았습니다. 다운로드 수가 500만 건이 넘는 기도 앱 BadeSaba Calendar가 손상되었고 앱에서 “도움말이 도착했습니다!”라는 경고가 표시되었습니다. 사이버 정보 회사인 Flashpoint의 평가에 따르면 “이란 형제”를 방어하기 위해 “인민군”을 촉구했습니다. 일요일에 이 앱은 이슬람 혁명수비대 평단원들에게 항복 지침과 시위대가 모일 수 있는 안전한 장소를 보냈습니다.
정권에 충성하는 사람들은 재빨리 반격했습니다.
Flashpoint에 따르면 일요일에 이어진 일은 이란의 “그랜드 에픽(Grand Epic)” 사이버 캠페인으로 알려진 것의 “가장 공격적인” 사용이었습니다. 이 캠페인은 “이슬람 사이버 저항”이라는 채널 아래 느슨하게 조직된 사이버 운영자 그룹입니다. 그룹의 산하에서 몇몇 사이버 공격자들은 요르단의 주유소를 폐쇄하고 미국과 이스라엘 군수업체에 대한 공격을 주도하여 데이터를 파괴하고 BadeSaba 해킹을 모방한 심리 작전을 수행했습니다.
Flashpoint는 업데이트에서 다음 48시간은 핵티비스트와 그 대리인이 “테헤란 중앙 명령에 의해 남겨진 공백을 채우기 위해 확대하는 데 앞장서기 때문에” “극심한 변동성”의 기간이 될 가능성이 높다고 밝혔습니다. 전직 NSA 전문가이자 현재 Flashpoint의 위협 인텔리전스 팀을 이끌고 있는 Kathryn Raines는 이러한 공격자들이 Telegram과 Reddit을 조정 센터로 사용하여 공격 혐의의 스크린샷을 증거로 게시하고 있는 것으로 알려졌습니다. 그러나 정확성을 확인하는 데 몇 주, 때로는 몇 달이 걸리기도 한다고 Kathryn Raines가 말했습니다.
BadeSaba 해킹은 이란의 프록시 그룹이 이제 서구 및 기타 기업에 대해 역으로 구현하려고 시도할 수 있는 모델을 보여줍니다. 더욱이 이란 지도부가 토요일 공격으로 사실상 전멸하면서 테헤란의 사이버 작전을 감독하는 지휘 구조가 사실상 사라졌다고 레인즈는 말했습니다.
그는 포춘과의 인터뷰에서 “이란의 리더십 공백은 더욱 분산되고 예측 불가능한 대리 공격으로 이어질 가능성이 크다”고 말했다.
실제로 이는 연계된 핵티비스트와 프록시 그룹이 중앙 당국의 승인 없이 목표물에 대해 스스로 결정을 내린다는 것을 의미합니다. 따라서 매우 공격적인 그룹이 성명을 발표하기 위해 중형 물류 회사를 공격하기로 결정하면 위험은 테헤란, 워싱턴 D.C. 또는 뉴욕을 넘어 확장된다고 Raines는 말했습니다.
그는 “감독이나 지시 없이 텔레그램 방에 있는 19세 해커의 손에 있다”고 경고했다.
결과적으로 미국의 비즈니스 리더들은 계속되는 불확실성에 대비해야 한다고 AI 기반 보안 회사 Andesite의 공동 창립자 겸 CEO이자 CIA 엘리트 특수 활동 센터(SAC)의 전 이사인 Brian Carbaugh가 말했습니다. 이란인들은 정부와 저항세력으로서 믿을 수 없을 만큼 회복력이 뛰어나다는 점을 수년에 걸쳐 지속적으로 입증해 왔습니다. 그리고 정권이 이웃 국가들을 폭격하고 있기 때문에 사람들은 이란이 전 세계적으로 미사일과 무장 대리인과 같은 국력의 다른 측면 외에도 가공할 만한 공격적인 사이버 능력을 계속 발휘할 것이라고 기대해야 한다고 그는 말했습니다.
이전에 두 명의 CIA 국장의 비서실장을 역임했던 카보는 “공격적이고 창의적인 저항은 이란 보안 기구의 정신과 이란 이슬람 공화국 전체에 구축되어 있습니다”라고 말했습니다. “비즈니스 리더와 기업을 보호하고 매우 높은 수준에서 의사 결정을 내리는 사람들은 이러한 상황이 한동안 지속되고 갈등이 다른 방향으로 나아가고 경로에서 벗어나는 것에 대비해야 합니다.”
미국과 이스라엘의 공격으로 이란의 재래식 군사 능력이 저하되면서 사이버 공격이 더욱 매력적으로 보인다고 Carbaugh는 말했습니다. 구현 비용이 저렴하고, 속성을 파악하기 어려우며, 필요한 투자에 비해 엄청난 심리적, 운영적 혼란을 일으킬 가능성이 매우 높습니다. 예를 들어 이란은 러시아가 처음 시연한 사이버 공격 방법을 모방하고 활용할 수 있음을 입증했습니다.
Carbaugh는 “이슬람 공화국은 항상 보안 서비스 내 사이버 역량을 매우 자랑스러워해 왔습니다.”라고 말했습니다. 그러한 자부심은 고위 리더십을 잃더라도 사라지지 않을 것이며 다른 옵션이 좁아짐에 따라 더욱 강화될 수 있습니다.
Raines에 따르면 대부분의 기업 보안 계획은 BadeSaba 해킹과 같은 공격에 준비되어 있지 않습니다. BadeSaba 해킹은 공격이 시작될 당시 앱을 사용하여 매일 종교 일정을 추적하는 이란의 잠재적으로 수백만 명의 무슬림에게 알림을 보냈습니다.
그는 “기업은 직원의 정신 상태와 자신감을 공격하기 위한 허무주의적 심리 작전에 실제로 준비가 되어 있지 않습니다.”라고 말하면서 이를 데이터를 훔치고 시스템을 비활성화하기 위해 고안된 공격과 비교했습니다.
앞으로 몇 시간 안에 직원들의 현실이 어떻게 될지에 대한 계획을 갖고 있는 기업은 거의 없으며, 위험 모델은 종종 국가 행동에 기반을 두고 전면전을 피하는 “제한선”을 가정한다고 Raines는 말했습니다.
그는 다음 주 이사회와 고위 경영진 회의에서 보안 리더들이 비즈니스 기능이 수익과 평판에 영향을 미치기 전에 오프라인 상태를 유지할 수 있는 최대 시간과 관련이 있을 것이라고 예측했습니다.
Raines는 “우리는 충돌 발생률보다는 복구 시간에 더 관심이 있습니다”라고 말했습니다.
Carbaugh는 이번 주에 이사회에 참석한다면 이란에서 일어나고 있는 상황을 토대로 해당 사업이 높은 수준의 위험에 처해 있는지 알고 싶을 것이라고 말했습니다. 대답이 ‘예’라면 이를 완화하기 위해 어떤 조치가 취해지고 있는지 알고 싶습니다. 대답이 ‘아니오’라면 더 많은 질문을 할 것입니다.
리더들은 기업이 위험에 처하지 않도록 어떤 조치를 취했는지 파악하고, 기업이 파트너 및 다른 사람들과 어떻게 협력하여 공격을 탐지하고 있는지, AI가 현재 이를 위해 어떻게 사용되는지 알아내야 한다고 Carbaugh는 말했습니다.
그는 이것이 단기적으로 해결될 수 있는 위기가 아니며, 즉각 소멸되지 않는 사이버 위험을 초래한다고 거듭 강조했습니다.
Carbaugh는 “이 갈등은 여러 차례에 걸쳐 다양한 방향으로 진행될 수 있습니다.”라고 말했습니다. “이 문제는 우리가 며칠 안에 깔끔하게 끝내고 뒤로 미룰 문제가 아니라고 생각합니다. 이를 위해서는 사이버 네트워크, 물리적 보안 및 기타 모든 자산에 대한 지속적인 경계와 보호가 필요합니다.”