"러시아, 친러 해커단체 뒤에 숨어 우크라이나 공격 정황"

구글 자회사 맨디언트 밝혀

러시아 정부가 해커 단체를 은폐물로 삼아 우크라이나와 동맹국을 사이버상에서 공격했다는 정황이 나왔다고 구글이 24일(현지시간) 밝혔다.

구글의 보안 자회사인 맨디언트는 "친러시아 해커들이 러시아 군사정보국과 협력하고 있다는 증거가 점점 늘어나고 있다"고 했다. 블라디미르 푸틴 러시아 대통령이 동원령을 발표한 것을 전후로 사이버 공세가 늘어나고 있다는 것이다. 맨디언트에 따르면 러시아 연방군 총참모부 직속 정보기관인 정찰총국(GRU)은 친러시아 해킹 그룹과 긴밀히 협력 중이다. 이들은 우크라이나 및 그 동맹국의 컴퓨터 운영 체제가 올바르게 작동하지 않도록 기기의 데이터를 의도적으로 파괴하고 복구할 수 없도록 만드는 악성코드인 '와이퍼'를 설치한 뒤, 친러 해커들이 잇따라 훔친 데이터를 러시아계 소셜미디어인 텔레그램에 게시하는 방법을 동원했다는 것이다.

대표적 친러 해커그룹은 해크넷팀(XakNet Team) 인포센터(Infoccentr) 다시 태어난 러시아 사이버군(CyberArmy of Russia Reborn) 등이다. 이들의 데이터 절도는 최소 16건인 것으로 나타났으며, 특히 GRU 관련 해커 단체인 APT28의 공격은 4건인 것으로 분석됐다.

맨디언트는 "이들 해커단체들이 GRU와 협력하고 있다고 확신한다"면서 "우리는 수개월 내에 이처럼 많은 양의 사이버 공격, 다양한 위협 행위를 관찰한 적이 없다"고 설명했다. 전직 국가안보국장인 마이클 로저 팀에잇랩스 운영파트너는 "러시아가 더욱 강력하고 위협적인 사이버 군대를 양성하고 있다"면서 "해커 단체를 활용하면 정황이 나타나도 (침입 사실을) 부인할 수 있다"고 강조했다. 맨디언트의 존 홀트퀘스트 부사장은 "해커 단체들은 러시아의 사이버 작전의 은폐물로 사용될 수 있다"며 "따라서 이러한 해커들을 가볍게만은 볼 수 없다"고 했다.

친러시아 해커들의 공세 수위는 높아지고 있다. 예를 들어 해크넷은 올 1분기 미국의 인프라를 공격하겠다는 성명을 발표한 바 있으며 킬넷은 일본, 노르웨이, 에스토니아, 리투니아를 상대로 디도스 공격을 감행했다. 특히 올 7월에는 미 의회의 입법 정보 시스템(Congress.gov)이 디도스 공격을 받아 2시간 동안 마비됐고, 8월에는 킬넷이 방산업체인 록히드마틴을 공격하고 다른 방산업체인 고릴라서킷의 문건을 파괴하기도 했다.

록히드마틴 대변인은 월스트리트저널을 통해 "우리는 전 세계의 교묘한 적들로부터 매일 위협에 직면하고 있다"면서 "정기적으로 시스템 보안을 강화하고 직원, 고객 및 프로그램 데이터를 보호하기 위한 조치를 취하고 있다"고 덧붙였다.

[실리콘밸리 = 이상덕 특파원]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]