끔찍한 사이버 공격 이후, 체로키 인디언 동부 부족은 기술 강국으로 발돋움했다

마이크로소프트, 사이버 공격으로 위기 겪은 이스턴 밴드 오브 체로키 인디언스(EBCI)의 클라우드 전환 성공 사례 공개 미국 동부의 아름다운 애팔래치아 산맥 깊숙한 곳, 체로키 노스캐롤라이나 지역에서 2019년 12월 7일 밤, 끔찍한 사이버 공격이 발생했습니다. 이 공격은 이스턴 밴드 오브 체로키 인디언스(EBCI)의 IT 인프라를 마비시키며 911 긴급 전화와 경찰 및 구급대원이 사용하는 위치 추적 시스템까지 먹통으로 만들었습니다. 이로 인해 10분이면 도착할 수 있었던 사고 현장에서 구급대원들은 환자를 찾기 위해 18분이라는 귀중한 시간을 허비해야 했습니다. 결국, 23세의 젊은 여성은 안타깝게도 부상으로 인한 사망 판정을 받았습니다. EBCI의 리처드 스니드(Richard Sneed) 추장은 당시 상황을 회고하며 "비상 상황에서는 모든 분이 소중하다. 18분의 지연은 누군가의 생명을 앗아갈 수 있다"고 말했습니다. 이 공격은 러시아 해커들이 EBCI의 모든 데이터를 암호화하기 위해 시스템 취약점을 악용한 결과였습니다. 해커들은 데이터 복구를 조건으로 금전을 요구하는 텍스트 파일을 남겼습니다. 이후 디지털 포렌식 수사를 통해 전직 직원이 시스템 취약점을 증가시키는 데 연루된 혐의로 체포되었고, 그는 부족 재산 오용 혐의로 유죄 판결을 받았습니다. 이번 사이버 공격으로 EBCI는 귀중한 체로키 언어 오디오 및 비디오 자료를 포함한 데이터를 복구 불가능한 손실을 입었습니다. 부족민들은 핵심 서비스 복구를 위해 8개월간 노력했으며, 결국 EBCI의 사이버 보험사는 수십만 달러의 몸값을 지불하고 데이터를 복구했습니다. 이 사건을 계기로 EBCI는 마이크로소프트와의 협력을 강화했습니다. 기존에 마이크로소프트 아웃룩(Outlook)만 사용하던 EBCI는 이번 공격을 계기로 온프레미스 서버 중심의 IT 인프라 전체를 재평가했습니다. 마이크로소프트와의 논의 끝에, EBCI는 데이터 보안 강화와 향후 공격 예방을 위해 IT 시스템을 마이크로소프트 애저(Azure) 클라우드로 이전하기로 결정했습니다. 이 클라우드 전환 작업을 위해 마이크로소프트 클라우드 솔루션 아키텍트 엘리엇 허프만(Elliot Huffman)이 2020년 3월부터 EBCI 본사에 상주하며 지원했습니다. 허프만은 "아름다운 곳이었고 활기찬 공동체였다"고 당시를 회상했습니다. EBCI의 클라우드 이전은 부족의 역사와 문화를 보존하는 데 중요한 역할을 할 것으로 기대됩니다. EBCI는 1830년에서 1850년 사이 강제 이주 정책인 '눈물의 길(Trail of Tears)'을 거부하고 노스캐롤라이나 숲에 숨어든 약 800명의 체로키 후손들로 구성된 연방 인정 부족입니다. 이들은 1870년대에 현재의 5만 에이커 규모의 땅을 매입하여 퀘일라 바운더리(Qualla Boundary)라 불리는 자신들의 영토를 구축했습니다. 사이버 공격 직후 EBCI 지도부는 비상사태를 선포하고 미국 사이버 보안 및 기반 시설 보안국(CISA)과 협력했습니다. FBI와 노스캐롤라이나 주 수사국도 범죄 수사에 참여했지만, 부족의 IT 기능 복구에는 수개월이 소요되었습니다. 허프만은 당시 상황에 대해 "모든 것을 잃었다며 도움을 절규하는 상황이었다"고 전했습니다. 해커는 각 컴퓨터를 다른 키로 암호화했으며, 이 키들은 러시아에 있는 해커의 서버로 전송되었습니다. 해커는 EBCI 네트워크의 모든 장치 목록을 확보하여 범용 복호화 도구를 만들었고, 몸값 지불 후 EBCI는 이 도구를 이용해 대부분의 데이터를 복구할 수 있었습니다. 하지만 체로키 언어 녹음 파일은 영구적으로 손실되었습니다. 이 녹음 파일들은 15년간 수집된 것으로, 현재 160여 명의 유창한 화자만이 남아있는 체로키 언어의 정확한 발음과 억양을 담고 있어 문화적으로 매우 귀중한 자료였습니다. 클라우드 전환 작업은 911 긴급 전화와 부족의 금융 시스템 복구에 집중되었습니다. EBCI는 연 2회 부족 소유 카지노 수익을 기반으로 회원들에게 수천 달러의 분배금을 지급하는데, 사이버 공격으로 이 지급이 지연되기도 했습니다. 허프만은 하루 10~12시간씩 복구 작업에 매달렸습니다. 또한, EBCI는 직원들에게 210만 달러 상당의 마이크로소프트 서피스(Surface) 노트북을 구매하고 마이크로소프트 팀즈(Teams)를 도입했습니다. 이는 코로나19 팬데믹으로 인한 사회적 거리두기 강화 이전에 직원들이 안전하게 원격 근무를 할 수 있도록 지원했습니다. 당시 EBCI의 IT 책임자였던 빌 트라비츠(Bill Travitz)는 "클라우드 결정 이후 뒤돌아보지 않았다"고 말했습니다. 그는 제로 트러스트(Zero Trust) 아키텍처의 중요성을 강조하며, 데이터 보안은 단순히 외부 방어뿐 아니라 사람, 서비스, 데이터 이동 전반에 걸쳐 이루어져야 한다고 설명했습니다. 제로 트러스트 환경에서는 사용자 신원, 위치, 기기 상태 등 모든 데이터 포인트에서 항상 인증 및 권한 부여가 이루어집니다. 트라비츠는 2022년, 부족의 제로 트러스트 여정에 대한 글을 기고하며 "제로 트러스트는 큰 안도감을 준다. 우리의 보안 태세가 현대적이라는 것을 안다. 해킹을 당하지 않을 것이라고는 말할 수 없지만, 그로 인한 피해 범위는 매우 제한적이다. 이제 밤에 더 잘 잘 수 있다"고 밝혔습니다. 애저(Azure)에 호스팅되고 마이크로소프트 센티넬(Sentinel)로 보호되는 IT 시스템 덕분에 EBCI 기술팀은 "누가, 무엇을, 언제, 어디서 하고 있는지 완벽하게 파악할 수 있다"고 트라비츠는 덧붙였습니다. 그는 "그 조직의 누구도 이전 방식으로 돌아가고 싶어 하지 않을 것"이라고 단언했습니다. 클라우드 이전 후, 트라비츠는 다른 미국 부족들의 IT 책임자들로부터 제로 트러스트 아키텍처 구축 방법에 대한 문의를 자주 받았습니다. 그는 "마이크로소프트와의 파트너십과 엘리엇의 지원 덕분이었다"고 답했습니다. 허프만은 "EBCI는 이제 사이버 보안과 클라우드 구현 측면에서 세계에서 가장 기술적으로 진보되고 성숙한 주권 국가 중 하나"라고 평가했습니다. 최근 스니드 추장은 약 6년 만에 처음으로 휴가를 떠나 멕시코로 향했습니다. 그는 휴가지에서 노트북으로 업무 이메일을 확인하려 했으나, 애저 기반의 IT 시스템이 해외에서의 접속을 차단했습니다. 처음에는 불쾌했지만, 곧 시스템의 보안성을 확인하고 안도감을 느꼈다고 합니다. 그는 "이 위기는 우리가 안전하다고 생각했던 모든 영역과 부족한 점들을 드러냈다. 많은 사람들이 나와 같이 '우리에게는 그런 일이 일어나지 않을 것'이라고 생각했을 것"이라고 말했습니다.