[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공이 석 달째로 접어든 가운데 사이버 공간에서의 긴장감은 여전히 팽팽하다.
지난달 '샌드웜(Sandworm)'의 우크라이나 전력망 공격 계획이 조기에 차단되는 등 현재까지 심각한 피해는 발생하지 않고 있다. 다만 지난주 새로운 멀웨어 변종이 발견되면서 러시아 연계 공격자 그룹의 활동은 물밑에서 조용히 이뤄지고 있는 것으로 보인다.
24일 ESET에 따르면 지난 20일(현지시간) ESET 리서치와 우크라이나 침해사고대응팀(CERT)은 '인더스트로이어(Industroyer) 2'와 '캐디 와이퍼(Caddy Wiper)' 멀웨어(악성 소프트웨어) 관련 공격에 사용된 새로운 버전의 '아규패치(ArguePatch)' 악성 프로그램 로더(loader)를 발견했다. 로더란 공격 도구의 일종이다.
ESET는 보고서를 통해 "샌드웜은 해당 멀웨어를 숨기기 위해 공식적인 ESET 실행 파일을 사용했다"며 "우크라이나를 공격하기 위해 자신들의 사이버 무기를 지속적으로 업데이트하고 있다"고 전했다.
앞서 지난달 ESET는 샌드웜이 우크라이나의 전력망을 겨냥해 인더스트로이어 2를 유포했다고 분석한 바 있다. 해당 멀웨어는 '인더스트로이어'에서 파생된 것이다. 인더스트로이어는 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, 산업제어시스템(ICS)에 사용되는 특정 통신 프로토콜을 이용, 망 운영을 제어하고 공격할 목적으로 설계됐다.
공격자들은 인더스트로이어 외에도 '캐디와이퍼(CaddyWiper)'와 '오크쉬레드(Orcshred)', '솔로쉬레드(Soloshred)' 등 시스템 파괴형 멀웨어도 함께 사용했다. 캐디와이퍼는 지난 3월 금융기관을 노린 공격에서 발견됐으며 이번에 다시 사용된 것으로 나타났다. 변전소 등 인프라 공격은 지난달 8일 오후로 예정됐고 공격은 최소 2주 동안 계획된 것으로 나타났다. ESET는 보고서를 통해 "공격자가 IT 네트워크에서 ICS 네트워크로 어떻게 이동할 수 있었는지 현재까지는 알 수 없다"고 전했다.
우크라이나 통신‧정보보호 서비스(SSSCIP)는 이달 중순 보고서를 통해 "이달 8~9일 인프라를 겨냥한 사이버 위협이 한 층 고조될 것이라고 예상했지만 실제로는 아무 일도 일어나지 않았다"며 "이는 러시아가 사이버 공격을 위해 동원한 가용 자원을 이미 소진했다는 증거"라고 분석했다.
SSSCIP는 "러시아는 실행 가능한 모든 공격 기법을 사용하고 있다"며 "러시아 군사정보국과 연계된 해커들은 위험하고 지능적이지만 어떻게 대응해야 하는지는 알고 있다"고 전했다. 다만 개전 직후 에너지 인프라를 겨냥한 사이버 공격은 전쟁 이전 대비 3배 이상 늘어난 만큼 경계를 늦추면 안 된다는 의견이 지배적이다.
마이크로소프트(MS)는 지난달 발표한 러시아의 우크라이나 침공 관련 보고서에서 "공격자는 탐지를 피하기 위해 멀웨어를 조금씩 수정하고 있다"며 "우리가 볼 수 없는 공격 활동이 지속적으로 이뤄지고 있다는 점을 가정했을 때 ICS 멀웨어를 포함해 우크라이나 네크워크에 배포된 비슷한 계열의 멀웨어가 최소 8개는 더 있을 것이라고 추정된다"고 전했다.
이어 "공격자가 현 시점의 개발·배포 속도를 유지할 것이라고 전제한다면 향후 더 많은 파괴적인 멀웨어가 발견될 가능성도 배제할 수 없다"고 덧붙였다.
/김혜경 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기