미국 사이버보안 및 인프라 보안국(CISA)이 전 세계 모든 조직에게 사이버 보안 경계를 강화할 것을 요구하는 권고문을 23일(현시 지각) 발표했다. 2월 24일은 러시아가 우크라이나를 침공한 지 1주년이 된 날이었다. 23일은 우크라이나 정부 기관의 웹사이트를 겨냥한 러시아의 사이버 공격이 적발된 날이기도 했다.
CISA 권고문은 미국과 유럽 국가 또한 사이버 공격에 당할 수 있다고 경고했다.
우크라이나 특수통신정보보호국은 이번 사이버 공격으로 중앙 및 지방 당국의 웹사이트 내용이 변경됐다고 밝혔다. 당국은 “러시아가 우크라이나를 침공한 지 1주년이 되는 시기에 민간인을 겨냥해 존재감을 과시하려 하고 있다”라고 밝혔다.
이번 공격으로 인해 심각한 시스템 중단 사태는 벌어지지 않았다. 영향받은 시스템 리소스 대다수가 신속히 복구됐다.
우크라이나 컴퓨터 비상대응팀(CERT-UA)은 해킹당한 웹사이트 중 한 곳에서 웹 쉘을 조사했다. CERT-UA는 이번 공격이 UAC-0056 또는 로렉53으로도 알려진 엠버베어(Ember Bear) 그룹의 소행이라고 밝혔다. 엠버베어는 2021년 초부터 동유럽에서 활동하고 있는 사이버 스파이 단체로 추정된다.
구글의 위협 분석 그룹은 2021년 한 보고서에서 러시아 정부의 지원을 받는 공격자들이 전쟁 준비 기간, 즉 2021년부터 사이버 공격을 점차 늘려왔다고 밝힌 바 있다. 또한 러시아는 2022년 공격할 대상으로 우크라이나 목표치를 2020년 대비 250% 늘렸고, 나토 국가 목표치는 같은 기간 300% 이상 늘렸다. 구글은 이어 2022년 러시아 정부 차원 공격자가 러시아의 전략적 목표를 추가하기 위해 우크라이나와 나토 파트너들을 상대로 사이버 공격을 계속할 것이라고 확신했다.
CISA 권고문은 전 세계 모든 조직이 쉴즈업(Shields Up)을 같은 사이버 보안 자원을 활용해 경계를 강화하고, 현재 사이버 보안 위협 현황을 주시해야 한다고 강조했다. ciokr@idg.co.kr