‘물리적 공격과 같은 호흡’··· 러-우 사이버 전쟁 살펴보기

러시아가 우크라이나와의 전쟁에서 핵티비스트, ‘애국적’ 사이버 범죄자, 용병들을 대거 활용하는 것으로 관측된다. 최근 나토(NATO)에 가입한 핀란드를 포함하여 러시아와 인접한 서방 국가에서 기업과 정부기관을 새당으로 한 적대적인 공격이 급증하고 있다.



우크라이나 정부, 언론 매체와 공공시설에 대한 러시아의 사이버 공격은 2022년 2월 물리적 침공과 더불어 본격화됐다. 그러나 출현 시기는 2014 년 크림 반도 합병 시점까지 거슬러 올라간다. 주목할 만한 공격으로는 2017년 6월에 발생한 낫페트야(NotPetya) 와이퍼 악성코드 공격, 2015년 12월 우크라이나 전력망에 대한 공격이 있다. 후자의 경우 약 22만 5,000명의 사람들이 일시적으로 전력을 공급받지 못했었다. 해당 사건은 이후 러시아 군사 정보국(GRU) 소속 샌드웜(Sandworm)의 소행으로 밝혀졌다.

사이버 침공이 본격화되면서 우크라이나 핵심 인프라 서비스가 제대로 동작하지 못할 것이라는 우려는 우크라이나 사이버 방어자들의 경험과 준비, 역량 덕분에 실현되지 않았다. 우크라이나의 서방 동맹국들의 지원 또한 회복력을 키우는 데 도움이 되었다.

우크라이나에 대한 러시아의 사이버 공격이 급증
분쟁 기간 동안 지속된 사이버 공격 활동은 2023년 초부터 특히 급증했다. 우크라이나의 컴퓨터 긴급 대응팀(CERT-UA)은 2023년 1월부터 4월까지 701건의 사고를 처리했다. 이 중 공공 시설을 목표로 한 공격이 가장 많았다. 공격 중 약 4분의 1은 정부기관과 군대를 겨냥했으며, 나머지는 대부분 전력망, 금융, 교통, 통신 등 우크라이나의 핵심 인프라의 기타 요소를 대상으로 했다. 이는 2022년 한 해 동안 CERT-UA가 기록한 2,194건의 공격과 비교된다.
러시아 사이버 공격자의 목표는 정찰(정부 및 공공 인프라와 시민에 대한 정보 수집), 인프라 파괴, 지역 당국에 대한 불신과 공포 유발, 그리고 허위 정보와 선동을 통한 국민들의 사기 저하 등으로 추정된다.

우크라이나 국가 특수 통신 및 정보 보호 서비스 (SSSCIP)의 부회장 겸 최고 디지털 혁신 책임자인 빅터르 조라에 따르면, 러시아의 우크라이나에 대한 사이버 공격은 종종 로켓, 미사일, 드론에 의한 물리적 공격과 동시에 이뤄진다. 조라는 “사이버 공격과 물리적 공격이 밀접하게 조율되는 것을 관찰할 수 있다. 예를 들어, 일부 사이버 공격은 통신과 같은 중요한 인프라에 지장을 줄 수 있으며, 어떤 경우에는 이러한 공격이 물리적 공격의 심리적 효과를 증폭시킬 수 있다”라고 말한다.

우크라이나가 사이버 공격을 방어하는 데 도움이 된 국제적 지원
해킹을 통해 수집된 정보는 물리적 공격에 요긴한 정보로 사용될 수 있다. 조라는 “물리적 공격 자체에 유용할 수 있는 동시에 혼란을 증폭시킬 수도 있다”라고 말했다.

분쟁 기간 동안 우크라이나 국방장관은 러시아 기관을 표적으로 삼는 해커들에게 국제적 지원을 요청했으며, 이는 우크라이나와 외국 자원 봉사자들로 구성된 ‘우크라이나 IT 군대’의 창설로 이어졌다. 이 연합은 DDoS 공격 수행, 러시아 군인 및 고위 관리자들의 개인 정보 노출, 웹사이트 변조 공격, 데이터 유출 등을 통하여 러시아 기관을 방해하는 데 상당한 영향을 미쳤다.

우크라이나의 IT 군대는 또한 러시아 국가에 의해 실시간 정보에 대한 접근이 검열된 러시아 시민들에게 분쟁의 현실에 대한 인식을 제고하고 심리전을 펼치는 데 중요한 역할을 해왔다.

러시아의 킬넷(Killnet) 커뮤니티로 인한 혼란 증가
한편 러시아는 킬넷(Killnet)이라는 이름의 핵티비스트 커뮤니티를 구축하여 우크라이나와 NATO 국가의 기관을 대상으로 파괴적인 공격을 하는 데 어느 정도 성공했다. 주로 DDoS 공격을 사용했으며, 혼란을 일부 일으켰다. 단 지속적인 영향을 미치지는 않았다.

러시아를 지원하는 다른 그룹으로는 친러시아 트롤 운영 조직인 사이버 프론트Z(Cyber Front Z)와 친우크라이나 국가의 유틸리티 및 통신 회사 웹사이트에 대한 DDoS 공격을 주로 실행하는 그룹인 노네임057(NoName057)이 있다. 이 밖에 산성비(AcidRain)이라고 불리는 조직은 2022년 2월 24일에는 독일의 5,800개 풍력 터빈을 포함해 라우터와 모뎀에 영향을 미친 바 있다.

사이버 보안 전문가들은 러시아 정부가 핵티비스트와 사이버 범죄 조직에 어느 정도 관여하는 것으로 분석한다. 많은 친러시아 해커티비스트 그룹들은 러시아 정부기관들과 연계된 다양한 프론트 조직으로 의심되며, 이들이 정체성을 감추기 위해 다른 명분을 내세우곤 한다는 지적이다.

예를 들어, 프리시빌리안(FreeCivilian) 데이터 탈취 그룹은 우크라이나 정부 웹사이트의 데이터를 고의적으로 침해하는 공격을 여러 차례 수행했다. 이 작전을 실행한 이들은 독립적인 사이버 범죄자(또는 그룹)라고 주장했다. 그러나 러시아 군사 정보국(GRU)과 관련된 지능형 지속 위협(APT) 그룹이 수행한 훼손 활동과 몇 가지 유사점이 있었다. 릴리아퀘스트(ReliaQuest)의 수석 사이버 위협 인텔리전스 분석가 인 크리스 모건은 “프리시빌리안(FreeCivilian)이 GRU 조직원들에 의해 운영될 가능성이 있다”라고 말했다.

‘얀루오왕(Yanluowang)’ 랜섬웨어 그룹의 구성원 중 한 명도 러시아군의 일원으로 밝혀졌다. 모건은 “위협 행위자들이 의도적으로 자신의 정체성과 동기를 숨기려는 의도로 종종 다른 단체로 위장하는 경우가 많기 때문에 어디 소속인지 파악하는 것은 매우 어렵다”라고 말했다.

러시아의 전술은 변화 중
대체로 러시아 군사 정보국(GRU)은 우크라이나를 표적으로 한 파괴적인 공격에 많이 관여하고 있다. 반면 러시아 보안 기관인 연방보안국(FSB)은 전 세계 정보 작전을 목표로 삼고 있다. 전문가들은 러시아의 전술과 목표가 변화하고 있으며 공격의 주기도 변화하고 있다고 설명했다.

모건은 “러시아 사이버 작전도 극적인 변화를 보이고 있다. 특히 러시아의 군사 정보기관인 GRU와 관련된 러시아 국가 연계 단체들이 빠르고 파괴적인 공격을 수행하기 위해 속도를 바꾸고 있다. 이 변화에는 방화벽 및 라우터와 같은 엣지 디바이스를 표적으로 삼고 초기 액세스 후 몇 주 만에 데이터 삭제 멀맬어를 배포하여 ‘엣지에서 생활’하는 전술이 포함된다”라고 말했다.

금전적으로 동기가 부여된 그룹조차도 때로는 러시아 정부로부터 기소되지 않을 것이라는 확신을 받고 우크라이나를 공격하도록 부추기는 경우가 있다. 최근 러시아 및 벨라루스 정부와 연계된 해킹 그룹인 윈터 비번(Winter Vivern)은 유럽, 우크라이나 및 인도의 정부 기관 및 통신 사업자를 표적으로 하는 첩보 작전을 수행했다.

공격 대상 중에는 항복을 원하는 러시아와 벨라루스 군대에 지침을 제공하는 우크라이나 정부 웹 사이트도 포함되어 있다. 전 영국 군사 정보국 고위 장교이자 국제 사이버 엑스포의 콘텐츠 책임자인 필립 잉그램 MBE는 “과거 러시아에 기반을 둔 많은 APT 그룹이 있었다. 이들의 환경이 변화하면서 러시아의 전술이 바뀌었다. 이러한 APT 그룹들은 활동 일부를 러시아 외부의 해커들에게 맡겼던 바 있다. 그러나 이들 개인과의 접촉은 2022년 2월 러시아가 우크라이나를 재침공하면서 거의 완전히 차단됐다”라고 말했다.

다수의 핵티비스트 그룹을 용인하는 것으로 보이는 러시아
잉그램에 따르면 러시아 핵티비스트들은 우크라이나 내부는 물론 전 세계에서 문제를 일으키고 있다. 과거에는 러시아 정부가 레빌(REvil)과 콘티(Conti)와 같은 사이버 범죄 랜섬웨어 조직을 용인했을 것으로 보인다. 하지만 우크라이나 침공 직전인 2022년 1월, 러시아 정부는 레빌(REvil) 조직을 단속하고 이들을 체포했다.

위드시큐어(WithSecure)의 최고 연구 책임자인 미코 히포넨에 따르면 2022년 2월 랜섬웨어 단기 단속 중에 러시아에 의해 체포된 사이버 범죄자 중 일부가 석방된 것으로 보인다. 최근 몇 달 동안 핀란드에 본사를 둔 사이버 보안 공급업체는 친러시아 핵티비스트 그룹의 활동 증가를 보고했다.

위드시큐어(WithSecure)의 위협 인텔리전스 책임자인 팀 웨스트는 러시아 핵티비스트와 러시아 정부 사이에 오랫동안 밀접한 관계가 있었던 것으로 보인다고 말했다. 그는 이번 달에는 이러한 핵티비스트 중 일부가 자칭 ‘민간 군사 계약자(용병)’를 자처하며 단순한 동기를 가진 ‘애국적 해커’가 아니라는 점을 공개적으로 선언했다고 전했다. 현재 이러한 핵티비스트는 주로 분산 서비스 거부(DDoS) 공격, 랜섬웨어 및 와이퍼 맬웨어와 같은 파괴적인 공격에 참여하고 있다. 이 중 대부분은 상당히 수준이 낮다고 웨스트는 말했다. 

NATO 가입 이후 핀란드 대상 공격 증가
핀란드는 2023년 4월 4일 러시아의 우크라이나에 대한 전면 침공 이후 NATO에 가입했다. 핀란드가 처음으로 서방 방위 동맹에 가입을 신청한 이후로 러시아 군용기가 핀란드 영공을 침범하는 일이 빈번하게 발생했다. 웨스트에 따르면 핀란드의 NATO 가입과 동시에 핀란드 정부 기관에 대한 DDoS 공격이 증가했다. “핀란드의 가입이 공식 발표된 날에 핀란드에서 맬웨어 활동이 증가하기도 했다”라고 그는 말했다.

조라는 러시아의 공격에 대응하는 일종의 생태계가 형성됐다고 전했다. 그는 “이제 우크라이나는 혼자가 아니다. 우크라이나만이 공격의 유일한 표적이 아니며, 많은 친구와 파트너들이 러시아로부터 공격받고 있다. 위협에 대한 정보를 교환하고, 경험과 보호 기술을 공유하는 등 협력할 수 있는 분야가 많다고 생각한다. 사이버 규칙 공유, 역량 구축, 기관 간의 협업 및 협력 강화, 국제 협력 개선, 기존 인프라 강화 등 모든 파트너에게 권장하는 사항은 기본적으로 동일하다. 본격적인 전쟁이 시작되기 전에 국제 기술 지원 프로젝트를 통해 우리의 회복력을 높이는 데 크게 기여했다고 생각한다”라고 말했다. ciokr@idg.co.kr