[러 우크라 침공] 시스템 파괴 노린 악성 프로그램 …1월부터 공격 전조


"3‧20 사이버 공격과 유사…대선 앞두고 국내 보안 강화해야"

[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공은 1월부터 이미 시작됐다는 분석이 나오고 있다. 디도스와 함께 랜섬웨어로 위장한 악성프로그램이 우크라이나 주요 기관에 침투한 게 침공의 전조 현상이었다는 것이다.

사이버 공격은 확전될 수 있는 만큼 한국도 지정학적 특성과 최근 아시아 지역을 표적으로 한 빈번해지는 해킹 공격, 대선 등의 변수를 고려해 사이버 보안에 만전을 기해야 한다는 지적이 나온다.

서버 해킹 이미지. [사진=픽사베이]

◆ 해킹 기법도 교란 작전과 '닮은 꼴'

로이터통신 등 외신에 따르면 러시아의 군사작전 개시 직전인 23일(현지시간) 우크라이나 의회와 외교, 내각 등 정부 주요 기관과 은행 등은 디도스(DDoS·분산서비스거부) 공격을 받아 웹사이트가 먹통이 되는 등 시스템 장애를 겪었다.

러시아의 사이버 공격에 미하일로 페도로프 우크라이나 부총리 겸 디지털혁신부 장관은 트위터를 통해 "우리는 IT 부대를 만들고 있고 디지털인재가 필요하다"며 자원을 요청했다. 이에 익명의 해커집단 어나니머스(Anonymous)와 일론 머스크 테슬라 최고경영자(CEO) 등이 힘을 보태고 나섰다. 현재 공개적으로 러시아를 지지하고 나선 ‘콘티(Conti)’ 등 랜섬웨어(Ransomware) 조직, 배후의 러시아 정부에 맞서 어나니머스가 전면전을 선포하고 나서면서 사이버전은 과열되고 있다.

전문가들은 지난 1월 이미 러시아의 침공이 시작됐다고 분석하고 있다. 마이크로소프트(MS)와 ESET에 따르면 1월에는 '위스퍼게이트(WhisperGate)'라는 악성프로그램이 우크라이나 정부 기관에 침투했고, 이어 2월에는 '헤르메틱와이퍼(HermeticWiper)'가 발견됐다.

MS 인텔리전스센터(MSTIC)가 발견한 위스퍼게이트는 랜섬웨어로 위장한 와이퍼(Wiper) 악성프로그램이다. 랜섬웨어가 컴퓨터 사용자의 파일을 담보로 금전을 요구하는 유형이라면, 와이퍼는 컴퓨터에 침투할 경우 데이터를 삭제하는 유형의 악성 소프트웨어를 뜻한다.

MSTIC에 따르면 해당 악성프로그램은 1월 13일 최초 발견됐으며 우크라이나의 정부 기관과 비영리단체 등에서 사용 중인 컴퓨터를 손상시킨 것으로 나타났다. 당시 우크라이나 정부 등은 공격의 배후로 러시아 정부를 지목했지만 러시아는 부인한 바 있다.

문종현 이스트시큐리티 ESRC 센터장은 "위스퍼게이트는 '마스터 부트 레코드(Master Boot Record‧MBR)'를 파괴해 시스템을 마비시키고 랜섬웨어로 위장해 공격자의 진정한 의도를 은폐한다는 점이 특징"이라며 "윈도우 PC가 감염될 경우 부팅 시 정상 작동이 되지 않고 암호화폐 등을 요구하는 메시지가 뜨게 되는데 이는 공격자의 신분이나 위치, 의도를 노출하지 않기 위해 랜섬웨어 수법을 이용한 교란 작전"이라고 설명했다.

랜섬웨어의 목표는 돈이다. 해커는 중요 파일을 암호화해 접근하지 못하도록 한 후 데이터를 볼모로 피해자를 협박해 돈을 뜯어낸다. 일반적으로 랜섬웨어 조직들은 MBR까지 파괴할 이유는 없는 셈이다. 그러나 위스퍼게이트 등의 목표는 시스템 파괴다. 하드디스크의 첫 번째 저장공간인 MBR 영역을 파괴하면 부팅에 문제가 발생한다.

2월에 발견된 헤르메틱와이퍼는 위스퍼게이트의 연장선상이다. ESET는 트위터를 통해 "해당 악성프로그램은 우크라이나에 있는 수백 대의 장치에 설치된 것으로 나타났다"고 전했다.

ESET가 발표한 악성프로그램 헤르메틱와이퍼 [사진=ESET 트위터 화면 캡쳐 ]

문 센터장은 "키프로스의 한 게임회사의 디지털 서명을 해킹해 악성파일을 넣고 정상적인 프로그램으로 보이도록 위장한 것이 헤르메틱와이퍼"라면서 "감염될 경우 랜섬웨어처럼 어떤 메시지가 보이는 것은 아니지만 부팅은 되지 않는다"고 말했다.

이어 "헤르메틱와이퍼 관련 2월 23일과 12월 28일에 각각 생성된 것으로 추정되는 악성파일이 총 5개 발견됐는데 주의할 점은 디지털 파일 특성상 이같은 날짜도 쉽게 조작할 수 있다는 점"이라며 "공격자가 의도를 감추거나 보안업체를 혼란스럽게 만들기 위해 날짜를 조작했을 가능성도 배제할 수는 없다"고 덧붙였다.

2014년 러시아의 크림반도 합병 과정에서 등장한 '리틀 그린 맨(Little green men)'은 침공 초기 미국과 유럽이 러시아의 의도를 규명하는데 혼란스럽게 만들었다. 당시 러시아 군인은 소속부대, 계급 등이 식별되지 않는 녹색 군복을 착용했고, 애매모호한 군사 행동을 보였다. 러시아 정부는 자국 군인임을 지속적으로 부인했지만 뒤늦게 인정한 바 있다.

◆ 국내도 주의해야…"북한 연계 해커집단 활동 주시"

한국 정부는 지난주 우크라이나 사태 관련 국내에 미칠 수 있는 사이버 위협에 대비해 범정부 차원의 비상대응체계를 강화했다. 국가‧공공기관의 주요 시스템과 기반시설 대상 취약 요인을 점검하고, 디도스 및 랜섬웨어 공격에 대비해 24시간 모니터링을 실시하고 있다. 현재 민‧관‧군 사이버위기 경보는 '관심' 단계를 유지하고 있다.

과기정통부 관계자는 "우크라이나 사태로 국내 사이버 위협이 증대될 경우 위기경보를 상향할 방침"이라고 말했다. 대러시아 제재 참여로 사이버 공격이 다른 나라로 번질 가능성을 배제할 수 없기 때문이다.

한국은 지정학적 위치와 국제정치 정세, 분단 등의 요인으로 과거부터 사이버 공격과 사이버 심리전 등의 위협을 겪어왔다. 특히 오는 9일 대선을 앞둔 만큼 북한 등의 움직임을 예의주시할 필요가 있다는 지적이다.

지난달 28일 발표된 IBM 시큐리티의 '엑스포스 위협 인텔리전스 인덱스 보고서(X-Force Threat Intelligence Index)'에 따르면 지난해 발생한 전 세계 사이버 공격의 26%는 아시아 지역을 조준한 것으로 집계됐다. 이어 ▲유럽(24%) ▲북미(23%) ▲중동(14%) ▲남미(13%) 순으로 나타났다.

이번 러시아의 사이버 공격 방식이 2013년 국내 방송사‧금융기관을 대상으로 이뤄졌던 '3‧20 사이버 공격'과 유사한 패턴이라는 진단도 나온다. 당시 민‧관‧군 합동조사단은 이 같은 공격을 북한 소행으로 지목했다. 2009년 7월 7~9일 국내 주요 사이트를 마비시킨 ‘7‧7 디도스’도 대표적인 사건이다. 국가정보원은 경로를 추적한 결과 디도스 공격 때 북한 체신청이 중국에서 쓰는 IP가 이용됐다고 국회에 밝힌 바 있다.

문 센터장은 "정상적인 프로그램처럼 위장하면서 MBR을 파괴시키는 방식은 북한과 연계된 해커조직에서도 많이 쓰던 수법"이라며 "역사적으로 본다면 러시아 연계된 해커조직들이 북한의 수법을 학습했을 가능성도 있다"고 말했다. 데이터 암호화와 함께 원본 데이터까지 탈취하는 방식은 몇 년 전부터 이미 성행했다는 분석이다.

앞서 이스트시큐리티는 국내 외교 안보 국방분야 교수와 민간분야 전문가를 겨냥한 북한 배후 소행의 해킹 공격 시도가 연일 포착되고 있다고 발표했다. 지난달 21일 시도된 공격은 한국의 군사연구 및 동북아 평화 협회처럼 위장해 해당 분야 종사자들에게 ‘[붙임] 프로필 양식.doc’ 이름의 악성 MS 워드 문서를 전달한 것이 특징이다.

문서를 열람한 수신자가 ‘콘텐츠 사용’ 버튼을 클릭하면 악성파일 내부에 숨겨져 있는 매크로 명령이 작동해 공격자가 만든 해외 명령 제어(C2) 서버로 통신이 진행된다. 개인정보 탈취와 추가 악성파일에 감염되는 등 해킹 피해로 이어질 수 있으므로 주의가 요구된다.

문 센터장은 "지난 1월 북한 연계로 추정되는 해커집단이 지상파 방송국을 해킹하려는 시도가 포착됐지만 사전 징후를 감지해 차단했다"며 "대선 기간 중 사이버 안보 대비는 어느 때보다 중요하므로 민관이 협업해 적극 대응해야 할 것"이라고 강조했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스