푸틴의 우크라 침공 열달…"이메일 피싱 공격은 여전히 활개"

김혜경 2022. 12. 30. 16:50
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

개전 이후 사이버 공격 1천500건…'멀웨어 주의' 메일에 악성파일 첨부

[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공으로 시작된 전쟁이 10개월 넘게 이어지는 가운데 현재까지 1천500건의 사이버 공격이 탐지됐다. 러시아 연계 해커집단은 멀웨어(악성 소프트웨어)가 첨부된 이메일을 대량 유포하는 방식으로 공격을 지속 감행하고 있다.

상반기에는 시스템 파괴형, 산업제어시스템(ICS) 맞춤형 멀웨어 등이 연이어 포착된 바 있다. 하반기에는 사이버 공격 강도가 상대적으로 약해졌지만 정부기관을 사칭하거나 민감한 주제를 악용한 피싱 공격이 지속되고 있는 만큼 주의가 요구된다는 분석이다.

우크라이나 침해사고대응팀(CERT-UA)이 올해 1월부터 이달 중순까지 탐지한 사이버 사건‧공격은 2천100건으로 집계됐다. 이중 2월 24일 러시아의 물리적 침공이 시작된 이후에 발생한 사건은 1천500건이다. [사진=SSSCIP 보고서 발췌]

30일 우크라이나 특수통신정보보호국(SSSCIP)에 따르면 우크라이나 침해사고대응팀(CERT-UA)이 올해 1월부터 이달 중순까지 탐지한 사이버 사건‧공격은 2천100건으로 집계됐다. 이중 2월 24일 러시아의 물리적 침공이 시작된 이후에 발생한 사건은 약 70%인 1천500건에 이른다.

한 해 동안 러시아 연계 해커집단의 주요 표적이 된 것은 군사 관련 시설이 아닌 민간 인프라다. 사이버 공격 강도는 일정한 수준을 유지하면서 소폭 증가 혹은 감소를 반복했다고 CERT는 분석했다.

CERT는 보고서를 통해 "데이터를 탈취하거나 시스템 파괴용 악성코드 배포는 우크라이나에서 러시아 연계 해커집단이 가장 널리 사용하는 전술"이라며 "이같은 공격은 전체의 4분의 1에 달하며 훨씬 더 복잡하고 강력한 작전의 일부가 될 수 있다"고 전했다.

이어 "러시아 해커들은 여전히 악성코드가 포함된 이메일을 대량으로 유포, 국방‧보안 부문에 대한 국민 신뢰를 떨어뜨리고 공황을 조장하기 위한 공격을 시도하고 있다"고 덧붙였다.

지난달 CERT는 우크라이나 정보보호 당국인 SSSCIP를 사칭한 대량의 피싱 이메일을 탐지했다. 이메일 전송은 'the@mail.gov.ua'로 수행됐으며, 이메일에 첨부된 링크를 클릭하면 멀웨어가 다운로드된다. CERT는 이번 공격 배후로 '아마겟돈(Armageddon)'을 지목했다. 아마겟돈은 러시아의 물리적 침공이 시작된 이후 왕성한 활동력을 보여주는 해커집단 중 하나다.

또 '멀웨어 주의(CERT-UA)'라는 제목의 메일에는 'ESETscanner.rar' 파일이 첨부됐다. 해당 파일을 내려받거나 실행할 경우 멀웨어에 감염된다. ESET는 슬로바키아 보안기업으로 이번 러시아 침공 과정에서 발생한 여러 건의 사이버 공격을 분석, 우크라이나 정부를 지원해 왔다. 해당 유형은 모두 사회공학적 기법을 이용한 사이버 공격이다.

앞서 지난 1월 물리적 침공 전 사이버공간에서는 전조 현상이 포착됐다. 러시아 침공 하루 전날 우크라이나 의회와 외교, 내각 등 정부 주요 기관과 은행 등은 디도스(DDoS·분산서비스거부) 공격을 받아 웹사이트가 먹통이 되는 등 시스템 장애를 겪었다.

MS와 ESET에 따르면 1월에는 '위스퍼게이트(WhisperGate)'가 정부 기관에 침투했고, 이어 2월에는 '헤르메틱와이퍼(HermeticWiper)'가 발견됐다. 위스퍼게이트는 랜섬웨어로 위장한 와이퍼 멀웨어다. 랜섬웨어가 컴퓨터 사용자의 파일을 담보로 금전을 요구하는 유형이라면, 와이퍼는 시스템 데이터를 삭제한다.

1월 13일 최초 발견됐으며, 우크라이나의 정부 기관과 비영리단체 등에서 사용 중인 컴퓨터를 손상시킨 것으로 나타났다. 헤르메틱와이퍼는 위스퍼게이트의 연장선상이다.

ESET는 "해당 악성프로그램은 우크라이나에 있는 수백 대의 장치에 설치된 것으로 나타났다"고 전했다. 3월 중순에는 '캐디와이퍼(CaddyWiper)'와 '더블제로(DoubleZero)'로 명명된 멀웨어가 발견됐다.

러시아가 돈바스 지역에 총공세를 가할 것이라는 전망이 나오면서 4월에는 우크라이나 전력망을 겨냥한 사이버 공격 징후가 포착되기도 했다. CERT는 '샌드웜(Sandworm)'의 멀웨어 공격을 조기에 포착, 저지했다고 발표한 바 있다.

우크라이나 당국과 ESET는 샌드웜이 '인더스트로이어(Industroyer)'에서 파생된 멀웨어인 '인더스트로이어2'를 사용했다고 분석했다. 해당 악성파일은 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이며, 산업제어시스템(ICS)에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.

러시아 침공이 장기전 양상을 보이면서 러시아 정보기관이 북대서양조약기구(NATO·나토) 회원국을 겨냥한 사이버 공격을 감행하고 있다는 분석도 나왔다. MS는 지난 6월 발표한 보고서를 통해 2월 개전 이후 총 42개국‧128개 기관에서 네트워크 침입 흔적을 포착했다고 전했다.

MS에 따르면 러시아발 사이버 공격 가운데 63%는 나토 회원국을 대상으로 이뤄졌다. 대부분은 미국 기관을 겨냥한 것으로 나타났으며, 전체 네트워크 침입 건수 중 12%를 차지했다.

/김혜경 기자(hkmind9000@inews24.com)

▶네이버 채널에서 '아이뉴스24'를 구독해주세요.

▶재밌는 아이뉴스TV 영상보기▶아이뉴스24 바로가기

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]

Copyright © 아이뉴스24. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?