러시아, 우크라 사이버 공격 2021년초부터 준비…디지털 공격 237건

러시아는 지난 2021년 초 우크라이나에 대한 사이버 공격 준비를 시작한 것으로 알려졌다. 마이크로소프트(MS)는 우크라이나가 러시아로부터 237건 이상 디지털 공격을 받았다고 밝혔다. 초기 해킹은 전략 및 전장 정보를 추구했다.

MS 연구원에 따르면 러시아 계열 해커가 이르면 2021년 3월 우크라이나에 대한 사이버 공격을 준비하고 있었다.

소수 해킹그룹이 전략 및 전장 정보 수집을 위해 국방, IT 및 에너지 네트워크를 포함한 우크라이나 조직에 대한 액세스를 확보했다고 MS는 보고서에서 밝혔다. 이 작전은 2월 침공이 시작된 전후에 공격의 토대를 마련하는 것으로 보였다.

톰 버트(Tom Burt) MS 고객보안 및 신뢰담당 부사장은 관련 보고서에 첨부된 블로그 게시물을 통해 “이전에 보고되지 않은 이런 정찰 작전은 우크라이나에 대한 공격적이고 피해를 주는 캠페인이 되기 전에 진행되었으며, 우크라이나는 침공이 시작된 이후 최소 6개의 러시아 계열 해킹 그룹에 의해 237건 이상의 사이버 공격을 받았다”고 적시하고 있다.
게다가 MS의 연구원은 우크라이나 전역의 수십 개 조직에서 파일을 영구적으로 파괴하는 거의 40건의 파괴적인 공격을 식별했다. 해당보고서에 따르면 이러한 공격의 40% 이상이 중요한 인프라를 제공하는 조직(기관)을 대상으로 했다.

러시아의 침공은 계획과 실행이 부실한 것으로 간주되어 왔지만 MS연구원은 종종 군사 계획과 일치하는 사이버 캠페인을 설명한다. 또 이 보고서는 러시아의 사이버 작전에 대한 자세한 설명을 제공하는데, 일부 전문가들은 러시아의 사이버 작전이 이번 전쟁에서 예상한 것보다 작은 역할을 했다고 평가했다.

버트는 해당 블로그 포스트에서 “러시아의 사이버 공격 사용은 강한 상관관계가 있는 것으로 보이며 때로는 자국 군사 작전과 직접적인 타이밍을 맞춘다. 예를 들어, 러시아 배우가 3월 1일 주요 방송사를 상대로 사이버 공격을 가했으며, 같은 날 러시아 군이 우크라이나의 ‘허위 정보’ 목표물을 파괴할 계획을 발표하고 키예프의 TV 타워에 미사일 공격을 지시했다”라고 적고 있다.

미국 워싱턴 주재 러시아 대사관 관계자는 이에 대한 논평 요청에 응답하지 않았다.

MS에 따르면 러시아가 후원하는 해킹 그룹은 우크라이나 핵심 인프라 중 일부를 온라인 상태로 유지하는 기술 체계에 자신을 포함시켰다. 이 보고서는 “해킹 그룹이 또 나중에 러시아 군대가 사용할 수 있는 정보를 수집하기 위해 우크라이나 군대에 대한 피싱 공격(phishing attacks)을 수행했다”고 밝혔다.
피싱 공격은 공격자가 공격대상자를 속여 공격자에게 민감한 정보를 공개토록 설계된 사기성 메시지를 보내는 사회공학의 한 유형이다. 피싱 공격은 점점 더 정교해지고 종종 표적이 되는 사이트를 투명하게 미러링하여 공격자는 피해자가 사이트를 탐색하는 동안 모든 것을 관찰하고 피해자의 추가 보안 경계를 허물 수 있다.

MS는 사이버 작전이 노벨리움(Nobelium)이라는 해킹 그룹에 의해 우크라이나에 대한 국제적인 지지를 모으는 사람들에 대한 대규모 피싱 캠페인으로 확대됐다고 말했다. 2021년 초 노벨리움은 미국과 유럽을 포함해서 나토(NATO) 회원국 정부에 서비스를 제공하는 IT 기업에 접근을 시도했다. 그것은 나토가 러시아의 군사 행동에 대해 어떻게 대응할 것인지 측정하기 위해 서방 외교 정책 기관의 데이터를 성공적으로 훔쳤다.

사이버 공격을 막기 위해 우크라이나 당국과 협력해 온 MS는 표적 국가를 밝히지 않았다. APT 29 및 코지 베어(Cozy Bear)로 알려져 있고 러시아 정보부와 연계된 것으로 여겨지는 노벨리움은 2020년 12월에 공개된 솔라와인드(SolarWinds Corp.)와 관련된 공급망 공격과 2016년 미국 대선에 앞서서 민주당 전국위원회(Democratic National Committee)의 공격 위반 혐의로 기소되었다.

2021년 후반에 러시아 해커로 의심되는 사람들이 나중에 파괴적인 공격 대상이 될 IT 및 에너지 공급업체 네트워크에 침투했다. 여기에는 우크라이나 정부 부처의 IT 서비스 제공업체인 키트소프트(Kitsoft)가 포함되어 있다. 이 회사의 웹사이트는 우크라이나인에게 “최악의 상황을 두려워하고 기다리라”고 위협했다.

키트소프트의 담당자는 이 코멘트를 찾을 수 없었다.

MS에 따르면 2022년까지 양국 간의 외교가 좋지 않자 러시아 정보 기관과 연결된 해킹 그룹이 이러한 네트워크에 대한 액세스를 적극악용하기 시작한 것으로 보이며 피해를 주는 특성으로 인해 악성 ‘와이퍼(wiper)’ 소프트웨어로 명명되었으며 이들을 우크라이나의 기관들에 보내기 시작했다.

버트는 우크라이나의 사이버 공격이 계속 증가할 것이며 러시아와 연계된 해킹 그룹이 나토 회원국을 표적으로 삼을 수 있다고 경고했으며 관련 조직들에 미국 정부 기관에서 게시한 경고를 심각하게 받아들일 것을 권고했다.

그는 “러시아의 사이버 위협 행위자들이 군사 행동을 거울로 삼아서 사이버 공격을 증강해왔다는 점을 감안할 때, 우리는 충돌이 격화됨에 따라 사이버 공격이 계속 확대될 것으로 믿는다”고 주장했다.


김세업 글로벌이코노믹 기자