우크라 침공 장기전…사이버 위협 전세계 확산 [IT돋보기]


MS "러시아 정보기관, 42개국‧128개 기관 사이버 공격 시도"

[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공이 장기전 양상을 보이고 있는 가운데 러시아 정보기관이 북대서양조약기구(NATO·나토) 회원국을 겨냥한 사이버 공격을 지속 감행하고 있는 것으로 나타났다. 우크라이나를 제외한 40여 개국에서 해킹 시도 흔적이 탐지되고 새로운 멀웨어(악성 소프트웨어) 변종도 발견되는 만큼 사이버 공간에서의 긴장감도 여전하다는 분석이다.

개전 이후 러시아 정보기관의 표적이 된 국가 통계. [사진=MS 보고서 발췌]

24일 마이크로소프트(MS)에 따르면 지난 22일(현지시간) MS 인텔리전스센터(MSTIC)는 보고서를 통해 지난 2월 개전 이후 총 42개국‧128개 기관에 대한 러시아의 네트워크 침입 흔적을 포착했다고 전했다.

전 세계적으로 관찰된 러시아발 사이버 공격 가운데 63%는 나토 회원국을 대상으로 이뤄졌다. 대부분은 미국 기관을 겨냥한 것으로 나타났으며, 전체 네트워크 침입 건수 중 12%를 차지했다. 우크라이나를 적극 지원하고 있는 폴란드의 경우 전체 8%에 해당되는 침입을 받았고, 발틱 3국인 라트비아와 리투아니아는 14%로 집계됐다.

MSTIC는 "덴마크와 노르웨이, 핀란드, 스웨덴 등을 대상으로도 유사한 활동이 지속 감지됐으며, 나토 국가의 외교부를 겨냥한 공격도 꾸준히 늘었다"고 전했다. MS는 러시아 정보기관이 전쟁 관련 내부 정부를 얻기 위해 우크라이나 동맹국을 대상으로 한 사이버 공격을 감행하고 있다고 분석했다.

개전 이후 우크라이나 외부에서 발생한 네트워크 침입 등 사이버 공격 통계. [사진=MS 보고서 발췌]

러시아의 표적이 된 128개 기관 중 49%는 정부기관으로 집계됐다. 이어 ▲IT 부문 기업 20% ▲에너지 등 주요 인프라 19% ▲비정부기구(NGO) 12% 순으로 나타났다. 침입 성공률은 29%로 분석됐으며, 이중 4분의 1은 데이터 유출 등의 피해를 입은 것으로 나타났다.

우크라이나 내에서는 시스템을 파괴하는 와이퍼(Wiper) 등 멀웨어(악성 소프트웨어) 변종이 지속 발견되고 있다. MS가 지난 4월 발표한 보고서에서 "공격자는 탐지를 피하기 위해 멀웨어를 조금씩 수정하고 있다"며 "우리가 볼 수 없는 공격 활동이 지속적으로 이뤄지고 있다는 점을 가정했을 때 공격자가 현 시점의 개발·배포 속도를 유지할 것이라고 전제한다면 향후 더 많은 멀웨어가 발견될 가능성도 배제할 수 없다"고 분석한 바 있다.

MSTIC에 따르면 현재까지 발견된 멀웨어는 ▲위스퍼게이트(WhisperGate) ▲헤르메틱와이퍼(HermeticWiper) ▲소닉보트(SonicVote) ▲캐디와이퍼(CaddyWiper) ▲데저트블레이드(DesertBlade) ▲인더스트로이어2(Industroyer2) ▲아이작 와이퍼(IsaacWiper) ▲더블제로(DoubleZero) 등 8개다.

러시아의 물리적 침공이 시작되기 전인 지난 1월 위스퍼게이트가 우크라이나 정부 기관에 침투했고, 이어 2월에는 헤르메틱와이퍼가 발견됐다. 4월에는 샌드웜이 우크라이나 전력망을 대상으로 시도한 멀웨어 공격을 조기에 포착해 저지했다.

당시 ESET는 샌드웜이 '인더스트로이어(Industroyer)'에서 파생된 멀웨어인 '인더스트로이어2'를 사용했다고 분석했다. 해당 악성파일은 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, 산업제어시스템(ICS)에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.

MSTIC는 "개전 이후 8개의 멀웨어가 48개의 우크라이나 기관과 기업을 공격했다"며 "최소 수백 대에서 수천 대에 달하는 컴퓨터를 대상으로 멀웨어를 유포한 후 네트워크 침투를 반복해 시도한 것으로 보인다"고 분석했다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스