러시아의 우크라이나 침공으로 세계의 눈과 귀가 현장에 쏠려 있다. 전쟁은 비극적이지만 국가와 국가 간 대립의 최종적 형태인 전쟁을 통해 시대상 변화를 감지할 수도 있다. 이번 전쟁을 통해 실제 사상자와 물리적, 인적 피해가 발생하고 있지만 한편으로는 사이버 공격, 금융 결제망 제한, 가상자산을 통한 모금 및 탈 중앙 금융거래, IT기업의 비대칭 정보 해결 움직임 등 디지털 시대에 새롭게 변화된 전쟁 양상을 보여주고 있다. <디지털데일리>는 5회에 걸쳐 이번 전쟁으로 인한 디지털 세계의 영향을 알아본다. <편집자>

[디지털데일리 이종현기자] 한국시간으로 24일, 러시아의 우크라이나 침공이 본격화한 가운데 실제 전쟁은 그전부터 이뤄졌다는 목소리도 나온다. 물리적인 침입 이전에 정보공간에서의 공격, 사이버전이 이뤄진 것을 두고 나오는 말이다.

전문가들은 이번 전쟁이 2014년 러시아의 크림반도 강제 합병의 연장선상에 놓여있다고 말한다. 2014년 초 러시아는 우크라이나의 영토인 크림반도를 자국 영토로 편입했다. 이때 러시아는 군사력에 더해 외교, 경제, 미디어 등뿐만 아니라 사이버전까지 병행하는 ‘하이브리드 전쟁’을 펼쳤다. 이보다 앞선 2008년 조지아 전쟁에서도 보인 모습이다.

◆올해에만 4번 사이버공격··· 사이버전은 이미 시작됐었다

우크라이나를 향한 러시아의 사이버공격은 꾸준히 이뤄져 왔다. 올해에만 4번의 러시아 추정 대규모 공격이 발견됐다.

1차, 1월 13일=마이크로소프트(MS) 위협 인텔리전스 센터(MSTIC)는 1월 13일 우크라이나 정부 및 정보기술(IT) 조직에 악성코드 위스퍼게이트(WhisperGate)가 설치된 흔적을 발견했다고 발표했다.

MSTIC에 따르면 해당 악성코드는 랜섬웨어처럼 보이지만 몸값을 요구하는 것이 아니라 대상 장치를 작동 불가능하도록 설계됐다. 금전적 이익을 노리는 것이 아닌 만큼 러시아가 본격적인 침공에 앞서 펼친 사이버전의 일환이라는 해석이 나온다.

2차, 1월 14일=1월 14일 우크라이나의 외무부를 비롯한 다수 정부 부처의 웹사이트가 공격받았고, 정부 부처와 국가 응급 서비스 등 70여개의 웹사이트가 해킹됐다. 해커는 웹사이트 화면을 변조(디페이스, Deface)했는데, ‘최악을 내다보고 두려워하라’라는 문구를 내걸었다.

우크라이나를 비롯해 미국 등 서방국가는 공격 배후로 러시아를 지목했다. 해커로 지목된 UNC1151은 벨라루스 정보부와 연계된 조직인데, 벨라루스는 2021년 러시아와 국가통합을 합의한 친러국가다. 우크라이나 침공에도 러시아군의 교두보 역할을 했다.

3차, 2월 15일=2월 15일에는 우크라이나의 국방부, 군대, 대형 상업은행을 대상으로 하는 대규모 분산서비스거부(디도스, DDoS) 공격이 수행됐다. 은행의 모바일 애플리케이션(앱) 및 ATM 기기에도 영향을 끼쳤다.

우크라이나 정보국은 해당 공격을 수행하는 데 든 비용이 수백만달러일 것이며, 조사 과정에서 드러난 모든 공격 징후라 러시아를 가르킨다고 말했다. 영국 정부와 미국 국가안보회(NCS)는 해당 공격을 수행한 것이 러시아의 군 정보총국(GRU)이라고 구체적으로 지목했다.

4차, 2월 23일=우크라이나는 2월 23일에도 디도스 공격을 받았다. 정부 부처, 군, 은행 웹사이트가 마비됐다. 동시에 우크라이나의 금융, 국방, 항공, IT 등 복수 조직 PC 수백대에서 데이터를 삭제하는 악성코드가 탐지됐다.

슬로바키아 보안기업 이셋(ESET)이 ‘허메틱와이퍼(HermeticWiper)’라고 명명한 악성코드는 1월 MSTIC가 발견한 공격과 흡사하다. 시만텍은 리투아니아에서도 허메틱와이퍼가 설치된 흔적을 보고하기도 했다.

공격은 2월 21일 러시아가 우크라이나 동부 돈바스 지역의 도네츠크 인민공화국과 루간스크 인민공화국의 독립을 승인하고 러시아 군의 진입을 명령한 직후 이뤄졌다.

◆러시아는 부인하지만··· 우크라이나·서구권 국가는 ‘러시아 공격’

올해에만 4차례 이어진 공격 모두 배후로 지목된 것은 러시아다. 다만 러시아의 경우 모두 부인했다. 드미트리 페스코프 크렘린궁 대변인은 “우리는 디도스 공격에 관여하지 않았다. 예상대로 우크라이나는 모든 것에 대해 러시아를 비난하고 있다”고 말했다.

러시아의 부인에도 불구, 우크라이나를 비롯해 서구권 국가는 러시아의 공격이라고 확실시하는 모양새다. 유럽연합(EU) 수석 외교관 조셉 보렐은 우크라이나를 공격한 배후를 특정했느냐는 질문에 정확한 증거 없이는 답변할 수 없다면서도 “어디에서 공격이 이뤄졌는지 상상할 수 있다”고 답했다.

EU는 우크라이나를 향한 거듭된 사이버공격에 리투아니아, 크로아티아, 폴란드, 에스토니아, 루마니아, 네덜란드 등 6개국 8~12명가량의 전문가들로 구성된 사이버신속대응팀(CRRT)을 배치했다. 네덜란드를 뺀 5개국은 모두 우크라이나의 주변국이다. 다만 배치 직후 러시아의 본격적인 침공이 이뤄짐에 따라 이들의 활약 여부는 불투명하다.

◆전쟁 이후로도 사이버공격 지속··· ‘점령 시나리오’에 이용할 수도

해커를 추적하는 보안기업 맨디언트의 디렉터 벤 리드(Ben Read)는 “맨디언트는 우크라이나 국민을 대상으로 한 UNC1151의 광범위 피싱에 관한 보고를 모니터링하고 있다. 맨디언트는 피싱 메시지를 직접 확인하지는 못했지만 우크라이나 컴퓨터 침해 사고 대응반(CERT-UA)에서 보고한 인프라와 UNC1151의 연관성을 찾을 수 있었다”고 성명을 발표했다.

또 그는 “UNC1151은 지난 2년 동안 우크라이나와 우크라이나군을 목표로 광범위한 공격을 시도해온 바 있다. 이번 공격 역시 과거 UNC1151의 패턴과 일치한다”며 러시아 배후설에 무게를 실었다.

맨디언트는 UNC1151의 활동이 벨라루스군과 연계된 것으로 추정하고 있다. 우크라이나 시민 및 군인의 개인 데이터를 우크라이나 점령 시나리오에 악용할 가능성을 제기했다. 또 해커가 러시아와 벨라루스를 우호적으로 홍보하기 위해 우크라이나로부터 탈취한 문서 중 오해의 소지가 있는 문서를 유출하거나 문서를 조작해 활용할 수 있다고 경고했다.

정부 주도의 공격뿐만 아니라 민간에서의 공격도 이어질 전망이다. 러시아에 근거지를 둔 랜섬웨어 그룹 콘티(Conti)는 러시아를 지지한다는 의사를 밝혔다. 러시아는 이란, 북한, 중국과 함께 미국이 꼽은 4개 사이버전 강국이다. 민간 해커조직의 활동도 활발하다.

맨디언트 금융범죄분석 전문가인 킴벌리 구디(Kimberly Goody)는 “맨디언트는 이전부터 콘티 랜섬웨어와 관련된 일부 공격자들이 러시아에 근거지를 두고 있으며, 그들이 수행하는 범죄 일부가 러시아 정보기관과 문서화된 형태임을 가늠해왔다”며 “러시아 정부는 과거에도 해커와의 관계를 통해 툴 공유나 직접적인 파트너십 등의 이익을 얻은 전적이 있다”고 이들의 활동 가능성을 언급했다.

이어 “비록 정부로부터 직접적인 공격 지시가 없었다고 하더라도 이러한 공격자들은 ‘애국심에서 비롯된’ 독립적인 공격을 진행할 수 있다”며 우려를 나타냈다.