보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

우크라이나·러시아 전쟁으로 보는 사이버전 동향 및 대응방안

2022.05.31

12,033






01. 우크라이나∙러시아 전쟁의 서막

2022년 현지시각 2월 24일 새벽 4시, 러시아의 우크라이나 침공이 시작되었다. 금번 침공은 2014년 2월 20일에 발발한 우크라이나·러시아 전쟁의 연장선으로, 당시 우크라이나 내에 있는 러시아 자국민 보호라는 명분 하에 러시아가 크림반도를 점령하며 두 국가 간의 전쟁의 서막이 시작되었다. 2021년 7월 러시아 푸틴 대통령은 러시아인과 우크라이나인은 ‘하나의 국민’이라는 자신의 견해를 강력하게 피력한 ‘러시아인과 우크라이나인의 역사적 통합에 대하여(Об историческом единстве русских и украинцев)’라는 제목의 에세이를 출판하였다. 이후 이러한 기조를 바탕으로 2022년 2월 21일 우크라이나의 돈바스 지역에 군대를 주둔시켰으며, 3일 후인 2월 24일 우크라이나를 향한 전면적인 침공이 개시되었다.

우크라이나를 향한 러시아의 물리적 침공이 전면전에 돌입하면서 사이버 환경에서도 변화의 양상이 감지되기 시작하였다. 침공 이전부터 러시아는 기술력, 정치력, 경제력, 군사력 등 국가차원에서 지원할 수 있는 모든 수단을 이용하여 ‘하이브리드 전쟁(Hybrid Warfare)’을 수행하고 있다. 하이브리드 전쟁은 군사적 수단을 활용하는 기존의 전쟁형태에 비군사적 수단의 공격기법을 활용하여 전쟁 상대국의 혼란과 불안을 야기시키는 전쟁을 의미한다. 최근에는 ICT기술이 비약적으로 발전됨에 따라 비군사적인 공격기법에 사이버 해킹 등의 공격이 차지하는 비중이 높아지고 있으며 이러한 양상은 우크라이나·러시아 전쟁에서도 쉽게 볼 수 있다. 

사이버전쟁이 발생되더라도 일반적으로 전쟁이 진행 중인 국가만 참여하는 것에 반해, 우크라이나·러시아 전쟁에서는 각국을 옹호하는 해커집단들이 참여한다는 점에서 기존 전쟁에서 볼 수 없는 독특한 공격형태를 띄고 있다. 러시아를 지지하는 해커그룹 중 2021년을 강타한 콘티(Conti) 랜섬웨어 조직은 ‘자신들은 러시아 정부를 전적으로 지지하며, 러시아에 사이버 공격을 수행하는 누구든지 모든 수단을 동원해서 복수하겠다.’라는 공식 발표문을 전쟁 발발직후인 2월 26일 발표하였다. 이와 같은 러시아 지지 해킹그룹에 대항하기 위해 우크라이나 부총리 미하일로 페도로프는 트위터를 통해 우크라이나 IT군대를 모집하는 글을 개제하면서 핵티비스트 그룹으로 유명한 어나니머스가 우크라이나를 지원하는 등 다수의 해커그룹들이 러시아·우크라이나의 사이버전에 참전하였다.

사이버전쟁이 국가간의 문제를 넘어 전쟁의 이념에 동참하는 다수의 해킹그룹으로 확산되면서 우크라이나·러시아의 사이버전을 두고 일각에서는 ‘세계대전’이라고 부르기도 한다. 사이버전의 공격형태 및 규모에 따라 물리적 전쟁을 넘어서는 경우가 빈번해지면서 이번 우크라이나·러시아 전쟁사태를 토대로 사이버전의 영향도와 사이버전을 대비하기 위한 방안에 대해서 생각해보고자 한다.


02. 사이버전의 개요

1) 사이버전(Cyber Warfare)의 정의 

우리나라 합동참모부 교범의 ‘합동 및 연합작전 군사 용어사전’에는 사이버전에 대한 정의가 다음과 같이 명시되어 있다. 

 컴퓨터 네트워크를 통해 디지털화된 정보가 유통되는 가상적인 공간에서 다양한 사이버 공격수단을

 사용하여 적의 정보체계를 교란, 거부, 통제, 파괴하는 등의 공격과 이를 방어하는 활동


사이버전은 최소한의 비용으로 파괴적인 효과를 유발하기때문에 정부소속의 정부기관에서 수행되는 것이 일반적이나 민감 해커조직들이 수행하는 경우도 일부 존재한다. 사이버전은 공격성격에 따라서 아래와 같이 크게 4가지 공격형태로 분류할 수 있다.

 

 

이러한 면에서 사이버전은 기존 전통적 전쟁 형태와는 다른 양상을 띄고 있다. 사이버전의 특징은 [표 1]과 같이 전통적 전쟁에 비해 공격이 빛의 속도로 빠르게 일어난다. 악성 프로그램은 구매하는 비용이 미사일을 구매하고 발사하는 비용보다 상대적으로 저렴하고 자체적으로 제작·수정할 수 있기 때문에 오픈소스를 활용하는 공격형태로 쉽게 볼 수 있다. 또한 하나의 공격 기법으로 공공기관, 은행 등 다수의 조직에 피해를 입힐 수 있으므로 비용 대비 파급되는 범위가 지구적이며, 은밀하게 진행되는 경우가 다수이므로 전·평시 구분이 명확하지 않다. 민간 해커와 전 세계적 컴퓨터, 서버 자원 활용이 가능하여 시간과 공간의 제약이 없고 공격자가 불분명한 특징을 가지고 있다. 


전통적 전쟁

구분

사이버전

고비용

준비에 드는 비용

저비용

국지적

파급 범위

지구적(광역성)

쉽게 파악 가능

공격자

불분명(은닉, 익명성)

자국 자원 한정

활용 자원

민간 및 전 세계적 자원 활용 가능

명확

피아식별

불분명

물리적 한계가 존재

공격 속도

빠름

비교적 분명

·평시 구분

불분명

비용에 비례

효과

비용대비 효과가 극대화


[표 1] 기존 전쟁과 사이버전의 차이점 (출처 : 한국국방연구원, 주간국방논단. 제 1431호(12-40))


2) 사이버전의 현황

* 일부 국가의 경우 공격 사실을 부인한 경우에 한해 (추정) 이라고 명시

시점(년도)

전쟁 명칭

 공격 국가

피해 국가

피해 사례

1991

1차 이라크전

미국

이라크

미 국가안보국 컴퓨터 바이러스 침투에 의한 이라크 방공망 교란

1993

코소보전

세르비아

미국

세르비아 해커들이 미군 네트워크 상대로 컴퓨터 해킹  및 바이러스 유포

2006

2차 레바논 전쟁

이스라엘

레바논

레바논 무장세력 헤즈볼라, 가짜 시체 및 폭격 장면 연출 등 사이버심리전 전개

2007

러시아·에스토니아 사이버전

러시아(추정)

에스토니아

에스토니아 전산망 공격 사태

2008

러시아·

조지아 전쟁

러시아

조지아

디도스 공격으로 조지아 주요기관 공격 및 봇 활용 메일 폭탄으로 전산망 무력화

2012

이스라엘·

팔레스타인 분쟁

이스라엘

팔레스타인

SNS 통한 가자지구 공습 우호여론 조성

2012

이스라엘·

팔레스타인 분쟁

팔레스타인

이스라엘

팔레스타인 무장세력 하마스, 이스라엘군 휴대폰 해킹 및 사이버 심리전

2014

러시아의 크림반도 침공

러시아

우크라이나

사이버 공격으로 우크라이나 대규모 정전 사태 발생


[표 2] 사이버전의 역사(출처 : 안정철, ‘정보·사이버전 유형과 정보기술 측면의 보안전략 발전방향’ 일부 재구성)


사이버전은 20세기에서 21세기로 넘어오면서 점차 두각을 드러내기 시작하였다. 세계 인구 중 인터넷을 사용하는 사람의 비율이 2%도 되지 못했던 20세기에 비해 21세기는 세계 인구의 절반 이상이 인터넷을 사용하기 때문에 사이버상에서의 영향도가 점차 커졌다. [표 2]에서 보다시피 1991년과 1993년 발생한 사이버전은 전쟁과 직접적으로 특정 집단에 공격을 시도하였다면 2006년 이후 발생한 사이버전은 미디어를 이용하거나 전상망을 공격하는 등 민간에도 피해를 끼칠 수 있는 심리적인 방법으로 확대하였다.

과거 발생한 사이버전 중 세계 보안 전문가들이 ‘사이버전’이라고 명명할 만한 최초의 사례는 2007년 에스토니아 전산망 공격 사태이다. 공공기관, 대통령 웹 사이트, 통신, IT 기업들이 표적이 되어 에스토니아 국민에게 큰 사회적 혼란을 주었으며 수천만 달러에 달하는 금전적 피해를 입었다. 배후에는 러시아로 추정되고 있으나 밝혀진 바는 없어 배후가 없는 공격으로 일단락되었다. 그 후 러시아는 전쟁에서 사이버전을 지속적으로 활용했다. 2008년 조지아 침공 때 군사작전에 앞서 해킹을 통해 조지아 주요 기관부터 무력화하고 전산망, 언론사, 포털까지 공격했다. 2014년 러시아의 크림반도 침공 당시 러시아 정보조직인 정보총국(GRU) 등 정규 조직을 비롯해 민간의 유명 해커그룹까지 포함한 3~5만 명 정도의 해커들이 우크라이나 중서부 지역의 대규모 정전사태를 발생시켰다. 

이처럼 사이버전은 점차 정보 교란, 탈취의 영역에서 확대되어 물리적인 공격을 가할 수 있는 형태로 변화하고 있다. 그렇다면 현재 전쟁을 진행하고 있는 우크라이나 측과 러시아 측의 사이버전은 어떠한 양상으로 이루어지고 있는지 살펴보자.


3. 우크라이나·러시아 사이버전

1) 우크라이나·러시아 전쟁의 양상

우크라이나와 러시아가 사이버전에서 보여주는 양상은 현저한 차이를 보이고 있다. 

우크라이나

구분

러시아

우크라이나 지지 세력 多

주체

러시아 해킹 집단

+ 러시아 지지 세력

공공, 통신사, 은행

대상

공공, 통신사, 은행, 미디어 등 다방면

DDoS 공격, 홈페이지 해킹 등

유형

악성코드 공격, 랜섬웨어 이용 多

가용성

요소

무결성

단기전

성격

장기전

방어

형태

공격

서비스 이용 불가, 개인정보 수집

목적

시스템 파괴, 심리전 활용, 개인정보 수집 및 탈취

지지 세력 자체 도구 사용

도구

WhisperGate, AcidRain, Industroyer2, CaddyWiper 등 오픈소스 사용


[표 3] 우크라이나·러시아 사이버전의 형태


러시아는 러시아 정보총국(GRU)과 러시아 지지 세력이 주로 공격을 진행하며 WhisperGate, AcidRain, Industroyer2, CaddyWiper 등과 같은 멀웨어 공격을 이용해 정부, 공공기관, 통신사, 은행, 미디어 등 다방면을 대상으로 공격을 시도하고 있다. 공격에 사용된 멀웨어는 준비기간이 비교적 장기적인 것으로 보이며 공격 목적이 시스템을 무력화하는 등 파괴적인 성향과 개인정보 수집 및 탈취하고 심리전을 활용하는 등의 다양한 목적으로 공격을 시도하는 형태를 보이고 있다.

이에 반해 우크라이나는 우크라이나 지지 세력이 주로 공격을 진행하며 공공기관, 통신사, 은행 등을 공격하는 러시아와 비교하여 한정된 대상에게 서비스 거부 공격, 홈페이지 해킹을 통한 데이터베이스 탈취하는 등의 공격 형태를 보이고 있다. 우크라이나 지지세력은 사이버전에 대한 준비 시간이 비교적 짧아 서비스 이용 불가 공격 및 내부 데이터를 탈취 등의 정보 수집적인 공격을 감행하고 있다.

러시아의 대표 지지 세력으로는 ‘SandWorm’, ‘FancyBrear APT’, ‘Conti’ 가 있으며 우크라이나의 대표 지지 세력으로는 국제 해커 집단 ‘어나니머스(Anonymous)’가 있다. 그 외에도 각 국을 지지한다고 의사를 표명한 해커 조직들의 정보는 해킹 관련 정보를 다루는 트위터 CyberKnow에 게재되어 있다.

우크라이나·러시아 지지세력들이 보여주는 공격형태가 확연하게 차이를 보이고 있으므로 2022년을 기준으로 각 지지 세력들이 진행했던 공격에 대해 알아보자.


2) 러시아의 공격 형태

러시아가 우크라이나를 침공하기 전부터 발생한 공격에 대해 해당 공격이 가진 목적성에 따라 정리한다. 공격의 목적성을 크게 △ 시스템 파괴, △ 서비스 이용을 제한하고 가짜 정보를 전송하는 등의 심리전 활용, △ 정보 탈취로 나누어 보았다.

 목적 1 : 시스템 파괴 
* 일부 국가의 경우 공격 사실을 부인한 경우에 한해 (추정) 이라고 명시

공격 날짜

공격 개요

도구

공격 배후

2022-01-13

우크라이나 정보 기술 조직에 속한 장치에 파괴형 멀웨어 설치

WhisperGate

러시아(추정)

2022-02-11

우크라이나 정부 기관으로부터 발신된 것으로 추정되는 피싱 메일이 다수 전송

Cobalt Strike, Grimplant, GrapSteel

UAC-0056

2022-02-23

우크라이나 공공기관에 있는 수백 대의 컴퓨터에서 데이터 삭제형 멀웨어 탐지

HermeticWiper

러시아

2022-02-24

우크라이나 정부 기관 중 HermeticWiper 공격을 받지 않거나 코드 유사성을 공유하지 않은 조직에 삭제형 공격 적용

IssacWiper

러시아(추정)

2022-02-24

우크라이나 광대역 위성  인터넷 접근을 방해하는 삭제형 멀웨어

AcidRain

러시아

2022-03-17

우크라이나 기업을 대상으로 파일을 지우고 감염됨 시스템의 특정 레지스트리를 파괴하는 멀웨어 발견

DoubleZero

UAC-0088

2022-04-08

여러 멀웨어를 사용하여 우크라이나 변전소를 공격

Industroyer2, CaddyWiper, OPCSHRED, SOLOSHRED,

AWFULSHRED

러시아


[표 4] 러시아 측의 시스템 파괴적 공격 형태(출처 : Cyber Peace Institute 일부 재구성) 


[표 4]는 2022년도를 기준으로 러시아가 침공 전·후로 시도했던 시스템 파괴에 목적성을 가진 공격을 정리한 내용으로 러시아를 지지하는 세력은 공통적으로 ‘와이퍼(Wiper)’ 멀웨어를 주로 사용한다는 것을 알 수 있다. 와이퍼 멀웨어는 컴퓨터에 침투할 경우 저장공간에 있는 데이터를 삭제하는 유형의 악성 소프트웨어를 총칭하는 용어로 WhisperGate, HermeticWiper, IssacWiper 등의 변조된 형태로 나타났다. 와이퍼 멀웨어는 손상된 시스템의 파일에 접근하고 수정할 수 있다는 점에서 랜섬웨어와 유사한 부분이 존재하지만 공격자에게 요금이 지불될 때까지 디스크 데이터를 암호화하는 랜섬웨어와 달리 와이퍼 멀웨어는 디스크 데이터를 영구적으로 삭제하는 목적성을 가지고 있다. 실제로 러시아 지지 세력은 우크라이나의 공공기관, 은행 더 나아가 변전소를 공격하는 등 시스템을 파괴하는 공격을 장기간 준비하여 물리적인 영향력을 행사하려는 시도들이 다수 존재했다. MS의 디지털 보안 부서가 작성한 분석 보고서에 따르면 사이버 해킹 공격들을 시도하기 전후로 물리적 공격도 동시에 시행한 것으로 분석하였으며 현재까지 총 37차례 사이버 공격 시도가 존재했다고 말했다.


시스템 파괴의 목적성을 가진 여러 와이퍼 멀웨어 도구들 중 5가지를 소개하고자 한다.

 시스템 파괴 - ① WhisperGate 

2022년 1월 3일 우크라이나 여러 정부기관, 비영리 및 정보 기술 조직이 위스퍼게이트(WhisperGate) 라는 멀웨어에 의해 공격을 당했다. 위스퍼게이트(WhisperGate)는 MBR(Master Boot Record)를 지우는 삭제형 멀웨어로 랜섬웨어로 위장한 와이퍼(Wiper)멀웨어이다. 이 공격으로 정부기관과 기술 조직에서 사용 중인 컴퓨터가 감염되었으며 공격받은 컴퓨터가 오프라인 상태가 되었다. 
위스퍼게이트는 두 단계의 악성 파일을 유포한 후 실행시킨다. 1단계의 악성 파일은 사용자 PC의 MBR을 랜섬노트 출력하는 코드로 변경하여 사용자가 재부팅 시 PC가 켜지지 않고, 공격자가 지정한 랜섬노트를 띄운다. 이후 악성코드는 자동으로 재부팅을 수행하지 않고, 2단계 악성 파일을 실행한다. 2단계 악성코드는 공격자의 디스코드 채널에서 추가 페이로드를 다운로드한 후 실행시켜 파일을 파괴한다. 위스퍼게이트 공격은 최대한 긴 시간 시스템을 마비시키고 복구를 하지 못하게 만드는 것이 주된 의도로 보여진다.


 시스템 파괴 - ② HermeticWiper 

위스퍼게이트의 연장선으로 2022년 2월 24일에 주요 산업시설에 침투하여 내부 데이터를 삭제, 파괴하는 시설파괴형 멀웨어 헤르메틱와이퍼(HermeticWiper)가 발견되었다. 우크라이나의 금융, 군수, 정부 사이트에 대규모 디도스 공격과 함께 헤르메틱와이퍼를 배포하였고, 멀웨어가 윈도의 도메인 컨트롤러에서 직접 배포되었기 때문에 공격자는 실행 전에 장기간 액세스했을 가능성이 존재한다. 헤르메틱와이퍼는 시스템 파괴에 중점을 두고 복구가 불가능하도록 MBR(Master Boot Record), MFT(Master File Table)를 암호화·변조하여 내부 데이터를 삭제 파괴하는 특징을 가지고 있다. 러시아는 헤르메틱와이퍼 멀웨어의 공격을 받지 않은 조직과 코드 유사성을 공유하지 않은 조직에 또 다른 네트워크 파괴형 멀웨어인 IsaacWiper 공격을 수행한 것으로 알려졌다.


[그림 1] WhisperGate 악성코드 실행 흐름도(좌), HermeticWiper 악성코드가 첨부된 이메일(우) (출처 : 잉카인터넷(좌), 소만사(우))


 시스템 파괴 - ③ AcidRain 

러시아의 침공 전후로 우크라이나와 주변 지역에 공급되는 글로벌위치확인시스템(GPS)과 상업용 위성통신의 신호를 교란하는 사이버 공격이 발생했다. 미국의 통신기업 Visasat이 운용하는 통신위성 KA-SAT의 기능이 마비되어 사용자들은 2주 이상 오프라인으로 인터넷에 접근해야 했으며 9,000여명의 프랑스 가입자, 유럽의 약 13,000명과 독일의 에너지 회사가 영향을 받았다.

공격에서 사용된 도구는 AcidRain으로 장치 파일명을 총괄 검색하고 해당 파일을 근본적으로 삭제하는 기능을 탑재한 것으로 알려졌다. 이에 대해 보안 기업 센티널원(SentinelOne)에 따르면 AcidRain을 사용한 공격자가 위성 통신 장치 파일 시스템이나 펌웨어에 익숙하지 않거나 다른 대상에 적용하고자 하는 의도를 가진 것으로 분석했다. 또한 센티너원 측은 발견된 파일명(ukrop)가 러시아가 우크라이나인을 지칭하는 말에서 유래한 것으로 추측되므로 우크라이나에 대한 공격을 염두에 두고 개발된 것이라 분석했다. 


 시스템 파괴 - ④ Double Zero 

2022년 3월 23일 우크라이나 내 주요 기관을 대상으로 더블제로(Double Zero)라는 삭제형 멀웨어 공격이 발생했다. 보안 서비스 기업 ESET는 더블제로 멀웨어가 연결된 드라이브에서 사용자 데이터와 파티션 정보를 삭제하고 스토리지 파티션을 0으로 바꾸며 복구를 불가능하게 만든다고 분석했다. 공격자들은 주로 스피어피싱 공격을 통해 기관들을 감염시켰으며 스피어피싱 메일은 압축파일 형태로 압축을 풀면 닷넷(.NET) 기반 프로그램이 나타난다. 해다 프로그램은 파일 덮어쓰기를 통해 파일을 삭제하거나 API 호출인 NtFileOpen과 NtFsControlFile이라는 방법을 사용해 파일을 삭제한다. 또한 HKCU, HKU, HKLM, HKLM과 같은 레지스트리도 삭제한다.


[그림 2] 우크라이나 CERT가 발표한 ‘Double Zero’ 관련 보고서(출처 :  우크라이나 CERT 트위터)


 시스템 파괴 - ⑤ Induystroyer2, CaddyWiper 

러시아 APT 해킹 조직 샌드웜(Sandworm)이 악성코드를 통해 우크라이나의 변전소를 공격하였다. 공격에서 사용된 악성코드는 고전압 변전소 무력화를 시키는 Industroyer2와 윈도우 기반 시스템을 무력화하는 CaddyWiper로 우크라이나 변전소의 시스템 작동을 방해하고 동시에 데이터를 파괴하고 복구할 수 없게 만든다. ORCSHRED, SOLOSHRED, AWFULSHRED 등 파괴 스크립트를 사용해 리눅스 운영 체제를 실행하는 서버 장비를 공격하였다. 

우크라이나 컴퓨터 비상 대응팀(CERT-UA)은 최초 공격이 지난 2월에 시작되었고 공격 준비 기간은 최소 2주전에 이루어진 것으로 분석했다. CERT-UA 협력 보안 업체인 ‘ESET’는 공격에 사용된 산업기반시설(ICS) 악성 소프트웨어가 2016년 해킹과 동일한 소스 코드를 이용해 설계된 것으로 보인다고 분석하였다. 이번 해킹시도가 전력 공급에는 영향을 미치지 않았으나 공격이 만약 성공했다면 약 200만명의 사람들이 전력이 차단되었을 것이라고 보여진다.

[그림 3] 러시아 APT 해킹 조직 Sandworm의 공격 방식(출처: Security Affairs)


앞에서 기술한 5가지 공격 외에도 러시아 지지 세력은 Cobalt Strike, Grimplant, GrapSteel, IcedID 등 악성파일을 이용한 피싱 메일 전송 및 대량 배포를 통해 해당 악성 파일을 다운로드 하도록 유도하고 실행되게 하여 데이터 및 시스템을 파괴하는 공격들을 계속 시도하고 있다. 


 목적 2 : 심리전 활용 

공격 날짜

공격 개요

공격 배후

2022-01-14

우크라이나 정부 웹 사이트 70여개에 해킹 공격 발생

UNC1151

2022-01-19

우크라이나 서방 정부기관의 구직 및 고용 서비스의 플랫폼을 통해 공격 시도

APT-Gamaredon

2022-02-15

우크라이나 국방부, 군대, 대형 상업 은행 웹사이트에 대규모 디도스 공격 발생

GRU

2022-02-23

키예프 정부 및 기타 기관 약 600개 이상의 웹사이트에 최소 20개 취약점 겨냥한 공격 시도와 수천 건의 익스플로잇 공격 발생

중국

2022-02-23

우크라이나 공공기관 및 은행에 디도스 공격 발생

러시아

2022-02-24

우크라이나 난민의 물류를 관리하는 직원들을 대상으로 멀웨어가 포함된 피싱 메일 전송

UNC1151

2022-02-25

30개의 우크라이나 대학 웹 사이트 해킹

theMx0nday

2022-03-09

우크라이나 통신 서비스 제공 업체 Triolan이 공격을 받아 전국적으로 12시간 이상 네트워크가 중단

알려지지 않음

2022-03-13

Vinasterrisk 네트워크에 대규모 사이버 공격이 발생해 주요 인터넷 서비스가 중단

알려지지 않음

2022-03-16

우크라이나24 TV 방송국이 해킹되어 허위 정보를 보도하고 대통령이 비슷한 메시지를 반복하는 딥페이크 영상을 게시

알려지지 않음

2022-03-28

우크라이나 보안국(SBU)에서 침공과 관련된 허위 뉴스를 퍼뜨리는 봇 팜을 식별하고 조치

러시아

2022-03-28

UktelecomIT 인프라가 공격을 받아 13%이하로 속도 저하 발생

알려지지 않음


[표 5] 러시아 측의  심리적 공격 형태(출처 : Cyber Peace Institute 일부 재구성) 


러시아 정보총국 GRU를 포함한 러시아의 지지 세력은 러시아의 우크라이나 침공 이후 준비 기간이 다소 장기적인 시스템 파괴 공격 뿐만 아니라 준비기간이 단기적인 해킹 공격을 통해 심리적인 공격을 다수 시도했다. 특히 벨라루스 정보부와 연계된 해킹 조직 UNC1151은 침공 전·후로 심리전을 사용하는 형태의 공격을 수행했다. 

러시아 지지세력들은 우크라이나의 공공기관, 은행에서 대학, 방송국으로 공격 대상을 확대하였고 대규모 디도스 공격을 수행해 인터넷 서비스를 마비시키는 등의 행보를 보이고 있다. 또한 [표 4]를 보면 2022년 3월 16일 공격자들은 우크라이나24 TV 방송국을 해킹하였고 기존에 있던 인물(우크라이나 대통령)의 얼굴을 인공지능을 기반으로 활용한 이미지 합성 기술인 딥페이크(Deepfake)를 이용해 허위 정보를 마치 사실인 것처럼 뉴스를 보도해 우크라이나 국민과 해당 방송을 보는 사람들에게 혼란을 조장하려는 시도가 있었다. 이처럼 러시아 측은 사이버 공간을 이용해 심리적 불안감 조장, 여론 조작과 같은 다양한 의도를 가진 심리적 공격을 수행하고 있다. 


[그림 4] 우크라이나 정부 기관 웹 사이트 공격 화면(출처 : 로이터 트위터)


 심리전 활용 - ① 웹 사이트 대규모 해킹 

2022년 1월 14일 러시아의 우크라이나 침공 전 우크라이나 정부 70여 개의 웹 사이트에 대규모 해킹 공격이 발생했다. [그림 4]에서 보이는 것과 같이 웹 사이트가 우크라이나어, 폴란드어 및 러시아어 등으로 “두려워하라. 최악을 기대하라. 이것이 당신들의 과거이자 현재, 미래다”는 메시지와 함께 개인 정보가 인터넷에 유출되었다는 주장이 적혀 있었으나 사실 무근으로 밝혀졌다. AP통신은 우크라이나 문제를 논의한 러시아와 서방간 회담이 성과없이 끝나면서 지역 긴장이 고조된 상태에서 해킹이 발생했다고 전했다. 침공 전 우크라이나인과 주변 국가들에 전쟁이 곧 시작될 것이라는 심리적인 불안감을 조성하기 위해 시도된 것으로 보여진다.


 심리전 활용 - ② 은행권 대규모 디도스 공격 

2022년 2월 15일 우크라이나 국방부, 군대, 대형 상업 은행(PrivateBank, Oshadbank) 웹 사이트에 대규모 디도스 공격이 수행되었다. 대형 상업 은행의 경우 사용자들이 결제나 은행 앱 사용에 문제를 겪었으나 예탁자 자금에 대한 위협은 없었다. 서방 전문가들은 러시아가 우크라이나 침공에 앞서 사회적 혼란을 조장하기 위한 우크라이나 주요 기관에 사이버 공격을 벌일 가능성에 대해 경고해왔으며 실제로 공격이 일어났다. 우크라이나와 러시아의 침공에 대한 긴장감을 극대화 시키기 위한 공격으로 보여진다.


[그림 5] 디도스(DDoS) 공격에 대한 공지(출처 : 우크라이나 국방부 트위터)



[그림 6] 우크라이나 시민들이 받은 허위 문자 (출처 : 우크라이나 사이버경찰 웹사이트)


 심리전 활용 - ③ 미디어 부분 

우크라이나 침공 이후 뉴스 기관으로 가장하는 웹 사이트가 가짜 소식을 전달 목적으로 운영되었다. 우크라이나 24 TV 방송국은 해킹 공격을 받아 우크라이나 대통령이 전투를 중단하고 무기를 포기할 것을 촉구했다는 허위 정보를 보도하였다. 우크라이나 웹 사이트에 대통령이 비슷한 메시지를 반복하는 등 딥 페이크 영상을 게시함으로써 허위사실을 유포했다. 

2022년 3월 28일 우크라이나 보안국(SBU)에서 침공과 관련된 가짜 뉴스를 퍼뜨리는 100,000개의 소셜 미디어 계정을 운영하는 5개의 봇 팜(Bot Farms)을 식별하고 폐쇄 조치를 취하였다. 이는 우크라이나 사회 정치적 상황의 불안정화와 시민 사이의 공황상태를 조성하기 위한 시도로 보여진다. 뿐만 아니라, 디도스 공격으로 인해 Uktelecom IT 인프라가 13%이하로 네트워크 속도가 떨어졌으며 중요한 네트워크 인프라 보호와 군대 및 사용자들에 대한 서비스를 중단하지 않기 위해 개인 사용자와 비즈니스 고객의 인터넷 접근을 일시적으로 제한하였다. 

러시아는 사이버 심리전을 이용하여 침공 전후로 우크라이나 사회를 교란시키고 사기를 떨어뜨리기 위한 가짜 뉴스 및 정보를 퍼트리는 공격을 하고 있다. 전쟁이 가져다 주는 불안함을 극대화하고 국민의 사기를 무력화 시키기 위한 작전을 함께 수행하고 있는 것이다.


 목적 3 : 정보 탈취 

날짜

설명

공격 배후

2022-02-27

우크라인에 대한 계정 해킹을 시도하여 공격에 성공한 대상의 소셜 미디어 계정에 액세스해 허위 정보를 게시

벨라루스 APT 그룹 – UNC1151

2022-03-09

피해자를 속여 정부로부터 자금을 받기 위한 승인 편지를 열도록 하는 Formbook infostealer 악성 행위 발견

알려지지 않음

2022-03-16

우크라이나 적십자사 웹 사이트를 공격하였으나 사용자의 개인 데이터가 저장되지 않아 사이트 정보 구성 요소만 영향

알려지지 않음

2022-03-30

우크라이나 국민 및 국내 기관에 정보스틸러 MarsStealer 악성 파일이 포함된 이메일을 대량으로 유포

UAC-0041

2022-04-02

우크라이나 국민을 대상으로 텔레그램 계정 해킹을 시도

UAC-0094

2022-04-07

우크라이나 미디어 조직을 대상으로 물리적 침공에 대한 전술적 지원 및 민감한 정보를 빼내려는 시도로 추정되는 인터넷 도메인 제어 명령 확인

Strontium

2022-04-14

악성 XLS 문서를 대량 배포하여 악성 코드를 실행하여 사용자 자격 증명을 수집할 수 있는 뱅킹 트로이 목마를 사용

UAC-0098

2022-04-19

“Ukraine24”를 모방한 Facebook 사기 페이지에서 사용자가 설문조사를 참여하도록 하여 사용자의 개인 데이터를 조사하고 결제 카드 데이터를 손상시키게 하는 페이지로 유도

알려지지 않음


[표 6] 러시아 측의 정보 탈취 공격 형태 (출처 : Cyber Peace Institute 일부 재구성) 


러시아는 우크라이나의 심리를 이용하기 위해 우크라이나 사용자의 계정을 탈취하여 우크라이나 국민으로 가장하여 허위 사실을 유포하는 글을 작성하는 등의 공격을 시도했다. 또한 개인 식별 정보를 탈취하고 파괴 시키기 위해 공격을 시도한 정황도 포착되었다. [표 6]에서 임의의 사용자 계정의 정보를 탈취하여 제 2차 공격으로 사용하고자 했던 정황들이 포착되었다. 2월 27일은 임의의 사용자 계정 해킹에 성공하여 미디어에 허위 정보를 게시하는 2차 공격을 수행하였고 4월 2일은 텔레그램 계정 해킹을 시도하였다. 

개인 정보를 탈취하기 위해 악성 파일을 이용한 사례도 발생하였다. 3월 9일에 발생한 infostrealer 유형의 악성코드인 Formbook은 주로 메일의 첨부 파일을 통해 유포되며 유포 파일명이 유사하다는 특징을 가지고 있다. 메일 본문에 악성코드 유포자 링크를 걸거나 파일 첨부 등 악성코드 설치를 유도하고 지속적인 악성 행위를 시도하며 시스템 정보와 브라우저 로그인 정보 등 사용자 정보를 수집하는 공격을 수행한다. 같은 달 30일에 발견된 Mars Strealer 악성코드는 다양한 앱을 노리는 광범위한 정보 탈취 기능을 탑재하였고  47개 이상 다크넷 사이트와 해킹 포럼, 텔레그램 채널, 그랙 팩과 같은 ‘비공식’경로에서 배포되고 있다.

그 외에도 지속적으로 우크라이나 국민을 대상으로 하는 개인 정보 및 금융 정보 탈취 행위들이 지속되고 있으며, 기업을 대상으로 하는 기업 데이터 정보 노출을 노리는 공격들도 끊임없이 발생하고 있다. 주로 침공 이전부터 사용하고 있던 악성코드 파일들을 이용하여 공격을 진행하는 것으로 보여진다.


3) 우크라이나의 공격 형태

우크라이나의 사이버전 공격 형태는 러시아에 비해 방어적인 성향을 보이고 있다. 우크라이나 분쟁이 시작된 이후 외부에 드러난 사이버 공격들 중 가장 두드러지는 공격을 수행한 집단은 단연 어나니머스(Anonymous)로 볼 수 있다. 


[그림 7] 어나니머스의 해킹공격 참전 트위팅 내용 (출처 : YourAnonNews 트위터)


2월 26일 어나니머스가 러시아 국영 TV 채널을 해킹해 우크라이나에서 일어나는 전쟁에 대한 진실을 방송했다는 글을 어나니머스 소셜 미디어 계정에 공유하였다. 이어 러시아 에너지기업 가스프룸(Gazprom), 국영 언론사 RT 등의 사이트를 다운시키는데 성공했고 크렘린 공식 사이트와 러시아 정부 기관 및 동맹국인 벨라루스 정부 관련 사이트도 공격했다. 또한 벨라루스 무기 생산 업체 테트레더(Tetradr)의 이메일 200GB 분량을 유출시키고, 러시아 가스 공급 시스템을 관리하는 트빙고텔레콤(Tvingo Telecom) 시스템을 마비시켰다. 어나니머스가 공격한 공격 기법에 대해 사이버 보안 회사인 레드 고트의 파트너인 리사 포르테는 “해킹의 대부분은 지금까지 매우 기본적인 공격이었다”라고 말했다. 이를 통해 러시아 지지 세력에 비해 우크라이나 지지 세력의 공격은 비교적 준비기간이 단기간이며 공격 수법이 간단한 것으로 보여진다. 


04. 마무리

우크라이나·러시아의 사이버전은 이미 두 나라 뿐만 아니라 세계 각국에도 확대할 가능성이 제기되고 있는 상황이다. 미국의 조 바이든 대통령은 지난 3월 21일(현지시간) 워싱턴에서 열린 최고 경영자 분기 회의 ‘비즈니스 라운드 테이블’에서  “러시아 정부가 사이버 공격을 할 가능성이 있는 내용을 입수했다”고 밝혔다. 미국은 러시아의 사이버 공격이 실행될 경우 반격하겠다는 경고를 이미 한 적이 존재하여 사이버 세계 대전의 가능성이 커지고 있다고 보고 있다. 또한 사이버전에 대응하기 위해 주요 인프라에 대한 공격을 저지하며 민간 기업에 사이버 안보를 강화하기 위한 노력을 가하도록 당부했다.

우리나라에서도 사이버공격이 발생할 가능성에 대비해 사이버위협 비상대응체계를 강화했다. 과학기술정보통신부 조경식 제2차관은 “정보통신기술 기관간 협업체계를 가동해 상황을 모니터링하고, 상황 발생 시 관계 부처와 협업해 신속히 대응할 것”이라고 밝혔다. 지난 3월 21일 공공분야 사이버위기 경보를 ‘주의’로 상향 시켜 사이버전의 여파에 피해를 대응하기 위한 체계를 강화하였다.

구분

분류

내용

국가·

군사

, 제도 개선

군의 사이버전 능력 사용을 전//위기 시로 확대, 공공/민간 분야로 지원 확대

전문인력 양성 필요

각 사관학교에 컴퓨터 및 사이버 관련학과만 존재. 양병 측면에서 사이버병과 학교 신설과 사이버 장교 임관 등 군 본연의 임무 수행 능력을 부여 필요

정책 진화

미래 합동작전환경(JOE 2035)을 고려한 군령과 군정이 조화된 정책 발전 필요

기업

시스템 취약점 검토

주요정보통신기반시설 취약점 사전점검 및 조치

직원들의 보안 인식 제고

정기적인 보안 교육을 통해 사이버 사고 대비

개인

개인 정보를 지키기 위한 노력

피싱 메일에 대비하여 링크 주소, 보낸 사람의 이메일 주소 이상 여부 확인

보안 인식 제고

사이버전에 대한 인식 제고


[표 7] 국가·군사·기업·개인에 따른 대응방안(출처 : 사이버군협회, 사이버공간레터 일부 재구성)


우크라이나·러시아 전쟁이 지속됨에 따라 우리나라 또한 국가·기업·개인 측면에서 사이버전에 대비하여야 한다. 국가는 사이버전에 대한 법과 제도를 개선하여 전시 뿐만 아니라 평·위기 시에도 군의 사이버전 능력을 사용하게끔 범위를 확대하고 군사 분야에서 공공과 민간 분야로 지원을 확대해야 한다. 사이버군협회, 사이버공간레터에서는 전문인력 양성을 강조하였다. 사이버 병과 및 학교 창설과 사이버 복원 지원계획 확충, 유급지원병 및 준위 선발 등 기술인력 선발하는 등 전문인력 양성에 대해 강조하였다. 

또한 사이버전에 대해 기업들은 추가 피해에 대비하여 시스템 취약점을 자체적으로 지속 검토하고 취약점을 바로 조치하여야 하며 공격 모니터링을 통해 피해를 최소화하는데 힘써야 한다. 기업 뿐만 아니라 개인도 사이버전에 대한 보안 인식을 제고하여 피싱 메일이나 악성 파일 다운로드 등의 위협에 대비해야 한다. 전쟁은 더 이상 물리적인 공간에서만 일어나는 것이 아님을 명시해야 한다.


05. 참고자료

1) UKRAINE: Timeline of Cyberattacks on critical infrastructure and civilian objects
https://cyberpeaceinstitute.org/ukraine-timeline-of-cyberattacks/
2) Russia-Ukraine War : Cyberattack and Kinetic Warefare Timeline
3) New threat group underscores mounting concerns over Russian cyber threats
4) 하이브리드 전쟁의 위협과 대응
5) How the cyber world can support Ukraine
6) 국방 사이버전 수행 발전 방향
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=citrain64&logNo=100170093253
7) 세계 최초의 사이버 전쟁 사례와 그 의미
https://hemiliar.tistory.com/486
8) 우크라이나 정부 기관 겨냥한 ‘파괴형 멀웨어‘
9) 박찬수, 박용석 ‘사이버전의 개념과 대응방안에 관한 연구’
10) 사이버전(Cyber Warfare)