실시간 뉴스



우크라 침공 3개월…탐지된 사이버 위협 1천만 건 ↑


위스퍼게이트·헤르메틱와이퍼·인더스트로이어2…"변종도 지속 발견"

[아이뉴스24 김혜경 기자] 러시아가 우크라이나를 침공한 지 3개월이 넘은 가운데 개전 직후부터 현재까지 탐지된 사이버 위협 건수는 1천만 건이 넘은 것으로 나타났다. ‘샌드웜(Sandworm)'의 우크라이나 전력망 공격 계획이 조기에 차단되는 등 현재까지 심각한 피해는 발생하지 않고 있지만 새로운 멀웨어(악성 소프트웨어) 변종이 발견되는 만큼 사이버 공간에서의 긴장감은 여전하다.

우크라이나 특수통신정보보호국(SSSCIP)에 따르면 올해 1분기 사이버 위협으로 추정되는 이벤트는 총 1천400만 건으로 집계됐다. [사진=SSSCIP 보고서 발췌]
우크라이나 특수통신정보보호국(SSSCIP)에 따르면 올해 1분기 사이버 위협으로 추정되는 이벤트는 총 1천400만 건으로 집계됐다. [사진=SSSCIP 보고서 발췌]

30일 우크라이나 특수통신정보보호국(SSSCIP)에 따르면 올해 1분기 탐지된 사이버 위협 이벤트는 총 1천400만 건으로 집계됐다. 이 중 7만9천 건이 심각한 수준의 위협으로 처리됐으며, 65%는 중앙부처‧단체 내에서 발견된 것으로 분석됐다.

현재까지 공식 보고된 사이버 공격 사건은 총 40건으로, 멀웨어(악성 소프트웨어) 유포와 피싱(Phishing) 유형의 공격이 가장 많았다. 연계된 해커집단은 ▲가마레돈 그룹(Gamaredon Group) ▲트릭봇(Trickbot) ▲샌드웜 ▲APT28 ▲APT29 ▲킬넷(KillNet) ▲인비지몰(InvisiMole) 등으로 나타났다.

러시아의 물리적 침공이 시작되기 전인 지난 1월 '위스퍼게이트(WhisperGate)'라는 악성프로그램이 우크라이나 정부 기관에 침투했고, 이어 2월에는 '헤르메틱와이퍼(HermeticWiper)'가 발견됐다. 마이크로소프트(MS) 인텔리전스센터(MSTIC)가 발견한 위스퍼게이트는 랜섬웨어로 위장한 와이퍼(Wiper) 악성프로그램이다. 랜섬웨어가 컴퓨터 사용자의 파일을 담보로 금전을 요구하는 유형이라면, 와이퍼는 컴퓨터에 침투할 경우 데이터를 삭제하는 유형의 악성 소프트웨어를 뜻한다.

MSTIC에 따르면 해당 악성프로그램은 1월 13일(현지시간) 최초 발견됐으며 우크라이나의 정부 기관과 비영리단체 등에서 사용 중인 컴퓨터를 손상시킨 것으로 나타났다. 당시 우크라이나 정부 등은 공격의 배후로 러시아 정부를 지목했지만 러시아는 부인한 바 있다. 헤르메틱와이퍼를 발견한 ESET는 트위터를 통해 "해당 악성프로그램은 우크라이나에 있는 수백 대의 장치에 설치된 것으로 나타났다"고 전했다.

3월에는 '캐디와이퍼(CaddyWiper)'와 '더블제로(DoubleZero)'라고 명명된 멀웨어가 각각 발견됐다. ESET는 "해당 멀웨어는 연결된 드라이브에서 사용자 데이터와 파티션 정보를 삭제한다"며 "스토리지 파티션을 '0'으로 바꾸며 복구를 불가능하게 만든다"고 분석했다. ESET에 따르면 캐디와이퍼는 우크라이나 내 금융 기관을 주요 목표로 삼았다. ESET는 "이미 알려진 다른 멀웨어와는 코드 유사성을 공유하지 않는 것으로 보인다"고 설명했다.

우크라이나 침해사고대응팀(CERT)도 더블제로라는 멀웨어가 자국 내 주요 기관을 겨냥했다며 관련 발표했다. CERT 조사 결과 압축 파일 형태로 유포됐으며 악성 파일에는 '닷넷(.NET)'이라는 프로그램이 포함됐다.

같은달 말에는 우크라이나통신공사(Ukrtelecom)를 겨냥한 사이버 공격도 발생했다. 인터넷 감시단체 '넷블록스(NetBlocks)'는 트위터를 통해 "우크라이나의 실시간 네트워크 데이터 분석 결과 인터넷 연결이 전쟁 이전 대비 13% 수준까지 떨어졌다"고 전했다. 당시 현지 인터넷 서비스는 중단된 후 신속하게 복구됐지만 해당 사건은 지난 2월 러시아 침공이 시작된 이후 가장 심각한 수준의 사이버 공격으로 분류됐다.

현재까지 공식 보고된 위협 사건과 관련된 해커집단은 ▲가마레돈 그룹(Gamaredon Group) ▲트릭봇(Trickbot) ▲샌드웜 ▲APT28 ▲APT29 ▲킬넷(KillNet) ▲인비지몰(InvisiMole) 등으로 나타났다. [사진=SSSCIP 보고서 발췌]
현재까지 공식 보고된 위협 사건과 관련된 해커집단은 ▲가마레돈 그룹(Gamaredon Group) ▲트릭봇(Trickbot) ▲샌드웜 ▲APT28 ▲APT29 ▲킬넷(KillNet) ▲인비지몰(InvisiMole) 등으로 나타났다. [사진=SSSCIP 보고서 발췌]

4월에는 샌드웜이 우크라이나 전력망을 대상으로 시도한 멀웨어 공격을 조기에 포착해 저지했다. ESET는 샌드웜이 '인더스트로이어(Industroyer)'에서 파생된 멀웨어인 '인더스트로이어2'를 사용했다고 분석했다. 해당 악성파일은 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, 산업제어시스템(ICS)에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.

공격자들은 인더스트로이어 외에도 '캐디와이퍼(CaddyWiper)'와 '오크쉬레드(Orcshred)', '솔로쉬레드(Soloshred)' 등 시스템 파괴형 멀웨어도 함께 사용했다. 캐디와이퍼는 지난 3월 우크라이나의 금융기관을 노린 공격에서 발견된 바 있다. 변전소 등 인프라 공격은 같은달 8일 오후로 예정됐고 공격은 최소 2주 동안 계획된 것으로 나타났다.

해당 공격의 쟁점은 공격자의 침투 방식과 내부망 멀웨어 배포 방식이 불분명하다는 점이다. ESET는 보고서를 통해 "공격자가 IT 네트워크에서 ICS 네트워크로 어떻게 이동할 수 있었는지 현재까지는 알 수 없다"고 전했다.

아울러 이달 중순 ESET와 우크라이나 CERT는 인더스트로이어2와 캐디 와이퍼 멀웨어 관련 공격에 사용된 새로운 버전의 '아규패치(ArguePatch)' 악성 프로그램 로더(loader)를 발견했다. 로더란 공격 도구의 일종이다.

ESET는 보고서를 통해 "샌드웜은 해당 멀웨어를 숨기기 위해 공식적인 ESET 실행 파일을 사용했다"며 "우크라이나를 공격하기 위해 자신들의 사이버 무기를 지속적으로 업데이트하고 있다"고 전했다.

/김혜경 기자([email protected])




주요뉴스



alert

댓글 쓰기 제목 우크라 침공 3개월…탐지된 사이버 위협 1천만 건 ↑

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중

뉴스톡톡 인기 댓글을 확인해보세요.



포토뉴스