[아이뉴스24 김혜경 기자] 러시아가 조만간 돈바스 지역에 총공세를 가할 것이라는 전망이 나오는 가운데 최근 우크라이나 전력망을 겨냥한 사이버 공격 징후가 포착됐다. 그동안 사회기반시설을 노린 공격 시도는 수차례 포착됐지만 과거 정전 사태를 일으켰던 '샌드웜(Sandworm)'이라는 악명높은 해커집단이 다시 등장했다는 점과 외부망과 단절된 산업제어시스템(ICS)에 어떻게 침투했는지 아직 불분명하다는 점에서 주의가 요구된다는 분석이다.
![러시아가 돈바스 지역에 총공세를 가할 것이라는 전망이 나오는 가운데 최근 우크라이나 전력망을 겨냥한 사이버 공격 징후가 포착됐다. [사진=김국배 기자]](https://image.inews24.com/v1/bac8a2a94a6878.jpg)
14일 우크라이나 통신‧정보보호 서비스(SSSCIP)에 따르면 침해사고대응팀(CERT)과 슬로바키아 보안기업 ESET는 샌드웜이 우크라이나 전력망을 대상으로 시도한 멀웨어(악성 소프트웨어) 공격을 조기에 포착해 저지했다고 지난 12일(현지시간) 발표했다.
![우크라이나 전력망 겨냥 멀웨어 공격 도식 [사진=트위터 화면 캡쳐]](https://image.inews24.com/v1/68536feb496ca9.jpg)
ESET는 샌드웜이 이번 공격에 ‘인더스트로이어(Industroyer)’에서 파생된 멀웨어인 '인더스트로이어2'를 사용했다고 분석했다. 해당 악성파일은 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, ICS에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.
공격자들은 인더스트로이어 외에도 '캐디와이퍼(CaddyWiper)'와 '오크쉬레드(Orcshred)', '솔로쉬레드(Soloshred)' 등 시스템 파괴형 멀웨어도 함께 사용했다. 캐디와이퍼는 지난달 14일 우크라이나의 금융기관을 노린 공격에서 발견됐으며 이번에 다시 사용된 것으로 나타났다. 변전소 등 인프라 공격은 이달 8일 오후로 예정됐고 공격은 최소 2주 동안 계획된 것으로 나타났다.
실제 공격이 발생하기 전 무력화했지만 최초 침투 경로는 아직 모르는 상황이다. ESET는 보고서를 통해 "공격자가 IT 네트워크에서 ICS 네트워크로 어떻게 이동할 수 있었는지 현재까지는 알 수 없다"고 전했다.
쟁점은 공격자가 어떻게 침투했고 내부망의 멀웨어 배포 방식이 불분명하다는 점이다. 이스트시큐리티 ESRC 센터장 문종현 이사는 "공격자들이 인프라 내부망에 침투하기 위해 최초에 어떤 기법을 사용했는지 분석하는 것이 중요하다"며 "과거에는 고가의 외장하드 등을 미끼로 직원이 해당 기기를 내부에서 사용하는 순간 폐쇄망에 접근하는 원초적인 방식을 사용하기도 했다"고 설명했다.
이어 "최근에는 공급망 공격이나 이메일을 이용한 '스피어 피싱' 등을 쓰기도 하는데 사실 이번 건의 경우 어떻게 내부망에 침투했는지 의문"이라며 "ICS까지 들어간 것인지 혹은 외부 네트워크에서 악성파일이 발견돼 공격을 막았는지 불분명하다"고 덧붙였다.
공격자들이 인터넷에 연결된 외부 시스템과 내부망의 접점에서 어떤 취약점을 발견했을 가능성도 높다는 것. 산업시설 내부망을 겨냥한 멀웨어는 외부에서 명령을 받을 수 없으므로 실행 스케줄이 설정됐다는 점도 주목해야 한다고 문 이사는 강조했다.
앞서 2020년 7월 유럽연합 이사회(EU Council)는 회원국을 대상으로 사이버공격을 감행한 북한·러시아·중국 등 3개국 기관에 대해 자산 동결 등을 단행했다. EU가 주목한 사이버 공격은 '워너크라이(WannaCry)' ,'낫펫트야(NotPetya)' 등이다.
낫펫트야의 경우 EU 내 많은 기업이 피해를 입은 랜섬웨어 기반의 공격으로 공격자로는 샌드웜이 지목됐다. EU는 샌드웜의 배후를 러시아 군사정보국(GRU)으로 판단해 러시아를 제재 대상에 올렸다. 또 미 법무부는 평창올림픽과 2017년 프랑스 선거, 우크라이나 전력망 등에 대한 사이버 공격 가담 혐의로 GRU 소속 6명의 요원들을 기소한 바 있다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기