[데이터링] 러시아 침공 1년 앞두고 '시스템 파괴' 멀웨어 비상

[아이뉴스24 김혜경 기자] 우크라이나 침공 1년째가 되는 오는 24일을 전후해 러시아가 대공세를 벌일 것이라는 관측이 나오는 가운데 사이버 공간의 긴장감도 고조되고 있다. 지난해 초 물리적 침공을 앞두고 발견된 시스템 파괴형 악성코드가 최근 다시 포착되면서 주의가 요구된다는 분석이다.

3일 글로벌 보안업계에 따르면 슬로바키아 보안기업 ESET는 지난달 말 우크라이나 내 한 조직의 네트워크에서 새로운 와이퍼(Wiper) 멀웨어(악성 소프트웨어)를 탐지했다고 밝혔다. ESET는 공격 배후로 친러시아 해커집단 '샌드웜(Sandworm)'을 지목했으며 이 멀웨어를 '스위프트슬라이서(SwiftSlicer)'로 명명했다.

ESET는 "이번 멀웨어는 프로그래밍 언어인 '고(Go)'로 작성됐고 'WinGo/KillFiles.C'로 탐지된다”며 "매우 공격적이어서 피해가 우려된다"고 말했다.

와이퍼는 멀웨어의 일종이다. 랜섬웨어(Ransomware)가 피해자의 중요 파일을 암호화해 이를 볼모로 금전을 요구하는 유형이라면 와이퍼는 시스템을 파괴한다는 특징이 있다. 마이크로소프트(MS)와 ESET가 지난해 1월 발견한 '위스퍼게이트(WhisperGate)'는 우크라이나의 정부 기관과 비영리단체 등에서 사용 중인 컴퓨터를 손상한 것으로 나타났다.

보안업계 관계자는 "위스퍼게이트는 '마스터 부트 레코드(MBR)'를 파괴해 시스템을 마비시키고 랜섬웨어로 위장해 공격자의 진정한 의도를 은폐한다는 점이 특징"이라고 전했다. 하드디스크의 첫 번째 저장공간인 MBR 영역을 파괴하면 부팅에 문제가 발생한다. MBR 파괴는 과거 북한 연계 해커집단도 사용하는 등 몇 년 전부터 이미 성행했던 수법이라는 분석이다.

2월에 발견된 '헤르메틱와이퍼'도 위스퍼게이트의 연장선상이다. 이 멀웨어는 우크라이나에 있는 수백 대의 장치에 설치된 것으로 나타났다. 공격자는 키프로스 한 게임회사의 디지털 서명을 해킹해 악성파일을 넣고 정상적인 프로그램으로 보이도록 위장한 것으로 분석된 바 있다.

와이퍼 공격은 러시아 침공 이후 지난해 상반기 우크라이나 내에서 꾸준히 보고됐지만 하반기에는 상대적으로 뜸했다. 이번 ESET 발표는 악명높은 해커집단이 다시 모습을 드러냈다는 점과 멀웨어 변종이 재등장했다는 점에서 의미가 있다.

샌드웜은 2020년 7월 유럽연합 이사회(EU Council)가 회원국을 대상으로 사이버공격을 감행한 북한·러시아·중국 등 3개국 기관에 대해 자산 동결 등을 단행하면서 알려졌다. 당시 EU가 주목한 사이버 공격은 '워너크라이' ,'낫펫트야' 등이다. 샌드웜은 낫펫트야 관련 공격 배후로 지목됐고, EU는 샌드웜을 러시아 군사정보국(GRU)으로 판단해 러시아를 제재 대상에 올렸다.

러시아가 돈바스 지역에 총공세를 가할 것이라는 전망이 나오면서 지난해 4월에는 우크라이나의 전력망을 겨냥한 사이버 공격 징후가 포착되기도 했다. 당시 우크라이나 침해사고대응팀(CERT)은 샌드웜이 전력망을 겨냥해 유포한 멀웨어를 조기에 포착해 저지했다고 공개한 바 있다.

CERT는 샌드웜이 '인더스트로이어'에서 파생된 멀웨어인 '인더스트로이어2'를 사용했다고 분석했다. 이 멀웨어는 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, 산업제어시스템(ICS)에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다. 공격자는 인더스트로이어 외에도 '캐디와이퍼' 등 시스템 파괴형 멀웨어도 함께 사용했다고 우크라이나 당국은 설명했다.

문종현 이스트시큐리티 이사는 "최근 러시아가 대규모의 공격을 벌일 것이라는 관측이 끊이지 않는 가운데 사이버 보안 위협도 확대되고 있다"며 "우크라이나에서 와이퍼 유형의 악성파일이 지속 보고되고 있으므로 사회기반시설 등에서는 각별한 주의가 필요하다"고 말했다.

김혜경 기자의 다른 기사 보기

• 시스템 파괴 노린 악성 프로그램 …1월부터 공격 전조

• ‘캐디와이퍼’‧‘더블제로’…연이어 발견되는 악성 프로그램