[IT전문 미디어 블로그=딜라이트닷넷]

러시아와 우크라이나의 전쟁은 물리공간이 아닌 사이버공간에서도 이어지고 있다. 첨단 전쟁의 모습이라고 할 수 있는 하이브리드 전쟁의 모습이다. 안보를 위해서는 포탄뿐만 아니라 중요 데이터‧시설을 노리는 해킹 역시 경계해야 할 대상이다.

구글클라우드가 인수한 사이버보안 기업 맨디언트는 2022년 말 러시아의 해커그룹 샌드웜(Sandworm)이 우크라이나의 기간 산업을 노린 사이버공격을 감행한 사안에 대한 신규 보고서를 발표했다. 전력망 운영기술(OT) 환경을 노린 공격은 정전을 야기했다.

맨디언트에 따르면 샌드웜은 OT 환경에 이미 존재하는 도구를 활용하는 전략을 취했다. 우크라이나의 전력망을 조작해 대규모 미사일 공격의 때에 맞춰 전력을 차단하는 방식을 취했는데, 물리‧사이버공격이 동시에 함으로써 대응을 어렵게 했다.

맨디언트는 샌드웜의 해당 공격이 러시아의 사이버전 능력이 어떤 방향으로 발전하는지 보여주는 사례라고 전했다. 샌드웜은 약 2개월 만에 공격을 수행하기 위한 코드나 도구를 만든 것으로 추정되는데, 이는 전 세계적으로 사용하는 여러 제조업체의 OT 시스템을 대상으로 비슷한 공격을 빠르게 준비할 수 있는 역량이 갖춰져 있다는 방증이라는 것이 맨디언트의 설명이다.

사건 초기 맨디언트는 해당 활동을 UNC3810이란 이름의 위협 행위자 집단으로 추적했지만, 이후 샌드웜으로 병합했다. 샌드웜은 2009년 이후 러시아의 주요 정보기관인 정보총국(GRU)을 지원하는 스파이 활동과 대중의 의견이나 행동을 조작하려고 수행한 작전, 파괴적인 공격을 전 세계적으로 수행해 온 것으로 알려져 있다.

샌드웜은 특히 우크라이나를 타깃으로 하는 공격에 집중하는 경향을 보인다. 2022년 러시아 침공 기간에 와이퍼(Wiper) 등 악성코드를 이용해 파괴적인 공격을 감행한 바 있다. 우크라이나뿐만 아니라 러시아군의 이익을 위해 주요 국가를 대상으로 한 스파이 활동을 지속하는 중이다. 미국 정부가 발표한 기소장을 보면 샌드웜을 GTsST와 74455부대로 알려진 특수 기술 센터와 연관돼 있다.

샌드웜의 이번 공격에서 특히 주목할 만한 점은 샌드웜이 악성코드를 이용해 시스템에 새로운 파일을 생성하거나, 기존 파일을 수정하지 않고 공격을 수행하던 관행에서 벗어나 탐지가 어려운 LotL(Living off the Land Binaries) 전술을 작전에 차용했다는 점이다.

맨디언트는 샌드웜의 지속적인 글로벌 위협과 새로운 OT 공격 능력을 고려할 때 OT 자산을 관리하는 기관이나 인력은 위협 대응 조치를 취해 보안을 강화해야 한다고 조언하고 있다. 이번 공격은 우크라이나의 전력 인프라에서 사용하는 시스템 중 하나인 마이크로(Micro) SCADA를 겨냥했는데, 전 세계를 무대로 활동하는 샌드웜의 작전 반경을 고려하면 해당 시스템을 쓰는 모든 조직은 정보기술(IT) 및 OT 시스템 보호를 위한 적극적인 조처를 해야 한다는 당부다.

구글클라우드 맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트(John Hultquist)은 “해당 공격이 실질적인 군사적 필요성을 위해 고안됐다는 증거는 많지 않다. 이러한 공격으로 피해를 입는 것은 보통 민간인들이며 아마도 전쟁의 심리적 피해를 악화시키기 위해 착수됐을 가능성이 높다. 특히 겨울이 다가옴에 따라 우크라이나가 여전히 심각한 위협에 직면하고 있다는 점을 놓치지 않는 것이 중요하다”고 말했다.

[이종현 기자 블로그=데이터 가드]