[Tech in Trend] ① 디지털 시대의 현대戰, 사이버공간으로 퍼진 국가분쟁
2022-03-14 00:00
총성 없는 사이버전쟁...진군보다 앞서 공격 펼쳐
IT부대로 반격 나선 우크라이나...제3국 참여는 우려
CISA와 FBI, 러시아 해커 보복 공격 가능성 언급
국가정보원, 주요 공공기관 보안대응 "예의주시"
IT부대로 반격 나선 우크라이나...제3국 참여는 우려
CISA와 FBI, 러시아 해커 보복 공격 가능성 언급
국가정보원, 주요 공공기관 보안대응 "예의주시"
러시아와 우크라이나의 군사적 충돌 과정에서 보듯 사이버공간에서 펼쳐지고 있는 '총성 없는 전쟁' 역시 새로운 현대전 양상으로 떠올랐다. 오늘날 사이버공격은 정보통신을 마비시켜 사회적 혼란을 야기할 수 있다. 특히 스마트팩토리, 스마트시티 등 사회적 인프라가 인터넷과 연결된 오늘날, 사이버공격은 단순한 심리전을 넘어 실질적인 피해로도 이어질 수 있다.
앞서 2월 15일(현지시간)에는 우크라이나 국방부 및 국군 웹사이트, 국립저축은행 등 주요 기관이 디도스(DDoS, 분산 서비스 거부) 공격으로 마비됐다. 이에 대해 미국 백악관은 해당 공격의 배후로 러시아군 정보기관(GRU)을 공식 지목했다. 18일(현지시간) 백악관은 브리핑에서 사이버공격을 통해 더 파괴적인 침공을 위한 발판이 될 수 있다고 경고했다.
디도스 공격은 사이버 공격자가 웹사이트나 서비스 등에 과도한 트래픽을 유발해 서버 성능을 저하하고, 이용자의 서비스 이용에 장애를 일으키는 기법이다. 은행 등 주요 기관이나 언론사, 이동통신사 등에 디도스 공격이 발생하면 사회적·경제적 혼란을 일으킬 수 있으며, 실제로 국내에서도 공공·금융기관이 마비돼 사회적 파장이 컸다.
사이버위협 인텔리전스 기업 맨디언트는 성명을 통해 "우크라이나에 대한 디도스 공격은 피해가 적었지만, 다른 공격과 결합하면 심각한 결과를 가져올 가능성이 있다"며 "이러한 공격은 조직을 교란하고 사회적 기반을 약화하기 위해 진행되며, 심리적인 영향을 확대하기 위해 특정 시기에 맞추거나 물리적 공격을 동반할 수 있다"고 경고했다.
러시아의 사이버공격은 계속됐다. 글로벌 보안 기업 시만텍은 지난달 25일(현지시간) 하드디스크의 모든 정보를 삭제하는 '와이퍼' 악성코드가 우크라이나에 유포됐다고 밝혔다. 공격 대상은 금융, 국방, 항공, IT 서비스 등으로, 해당 악성코드는 정보유출보다는 파괴를 목적으로 한다고 분석했다.
시만텍의 분석에 따르면 러시아는 이미 지난해 11월부터 잠재적인 악성행위를 시작하고 있었으며, 지난해 12월 23일 대표적 취약점 중 하나인 마이크로소프트 익스체인지 서버의 취약점을 악용해 침투했다. 즉 침공 이전부터 사이버공격 기반을 마련한 셈이다.
앞서 2월 15일(현지시간)에는 우크라이나 국방부 및 국군 웹사이트, 국립저축은행 등 주요 기관이 디도스(DDoS, 분산 서비스 거부) 공격으로 마비됐다. 이에 대해 미국 백악관은 해당 공격의 배후로 러시아군 정보기관(GRU)을 공식 지목했다. 18일(현지시간) 백악관은 브리핑에서 사이버공격을 통해 더 파괴적인 침공을 위한 발판이 될 수 있다고 경고했다.
디도스 공격은 사이버 공격자가 웹사이트나 서비스 등에 과도한 트래픽을 유발해 서버 성능을 저하하고, 이용자의 서비스 이용에 장애를 일으키는 기법이다. 은행 등 주요 기관이나 언론사, 이동통신사 등에 디도스 공격이 발생하면 사회적·경제적 혼란을 일으킬 수 있으며, 실제로 국내에서도 공공·금융기관이 마비돼 사회적 파장이 컸다.
사이버위협 인텔리전스 기업 맨디언트는 성명을 통해 "우크라이나에 대한 디도스 공격은 피해가 적었지만, 다른 공격과 결합하면 심각한 결과를 가져올 가능성이 있다"며 "이러한 공격은 조직을 교란하고 사회적 기반을 약화하기 위해 진행되며, 심리적인 영향을 확대하기 위해 특정 시기에 맞추거나 물리적 공격을 동반할 수 있다"고 경고했다.
러시아의 사이버공격은 계속됐다. 글로벌 보안 기업 시만텍은 지난달 25일(현지시간) 하드디스크의 모든 정보를 삭제하는 '와이퍼' 악성코드가 우크라이나에 유포됐다고 밝혔다. 공격 대상은 금융, 국방, 항공, IT 서비스 등으로, 해당 악성코드는 정보유출보다는 파괴를 목적으로 한다고 분석했다.
시만텍의 분석에 따르면 러시아는 이미 지난해 11월부터 잠재적인 악성행위를 시작하고 있었으며, 지난해 12월 23일 대표적 취약점 중 하나인 마이크로소프트 익스체인지 서버의 취약점을 악용해 침투했다. 즉 침공 이전부터 사이버공격 기반을 마련한 셈이다.
일각에서는 이번 공격에 대해 과거 우크라이나에서 발생한 대규모 피해가 재현될 것이라고 우려했다. 우크라이나는 지난 2014년 총선 전날 개표 시스템 전자기록이 사이버공격으로 파기됐고, 이듬해에는 키이우(키예프) 일부 지역에서도 사이버공격으로 정전이 발생했다. 2017년에는 낫페트야 랜섬웨어로 인해 100억 달러(약 12조원)의 피해를 봤다. 해당 공격은 모두 러시아와 연계한 해커의 소행으로 알려졌다.
다만 전문가들은 제3국에서 이러한 공격에 자발적으로 참여하는 것에 대해 우려했으며, 국내 기관 관계자 역시 사이버공격 참여는 정보통신망법 위반 가능성이 있다고 말했다. 뿐만 아니라 IT부대를 노리고 공격 도구로 위장한 정보유출 악성코드가 유포되고 있어 주의가 필요하다. 보안 업계에 따르면 사이버공격부대에 자원하는 것이 국제사회의 지지를 받는 우크라이나를 후원하는 것으로 보일 수 있지만, 국내법에 따라 처벌될 수도 있다고 강조했다.
이어지는 러시아 제재에...보복성 사이버공격 확산도 우려
러시아가 우크라이나를 침공하면서 전 세계 IT기업은 러시아에 대한 직·간접적인 제재에 나섰다. 마이크로소프트, 어도비 등 주요 소프트웨어 기업은 물론 삼성전자, 애플 등 하드웨어 기업 역시 제품 공급을 중단했다. 구글, 페이스북 역시 러시아 선전매체가 광고를 통한 수익을 낼 수 없도록 제한키로 했다.
제재가 이어지면서, 러시아가 제재에 동참한 기업과 국가에 대한 보복성 사이버공격을 펼칠 우려도 커졌다.
실제로 러시아 해킹 조직은 오래전부터 정치적·금전적 목적으로 전 세계에 공격을 펼쳐왔다. 러시아 조직의 공격으로 지난해 세계 최대 식품가공 기업 JBS 물류가 마비됐고, 송유관 업체 콜로니얼파이프라인은 미국 동부 해안지역에 연료공급을 중단해야 했다.
제재가 이어지면서, 러시아가 제재에 동참한 기업과 국가에 대한 보복성 사이버공격을 펼칠 우려도 커졌다.
실제로 러시아 해킹 조직은 오래전부터 정치적·금전적 목적으로 전 세계에 공격을 펼쳐왔다. 러시아 조직의 공격으로 지난해 세계 최대 식품가공 기업 JBS 물류가 마비됐고, 송유관 업체 콜로니얼파이프라인은 미국 동부 해안지역에 연료공급을 중단해야 했다.
러시아의 사이버공격이 국경을 넘어 세계로 퍼질 조짐을 보이자 미국 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 지난달 26일(현지시간) 공동으로 사이버보안 지침을 발표했다. 여기에는 우크라이나에서 확산 중인 데이터 파괴 악성코드의 침해지표와 악성코드 정보, 대응방안 등이 포함돼 있다. 또한 기술지침 웹페이지 '실드업'을 개설해 민간 기업에 대한 정보공유를 확대하고 있다.
CISA는 "현재 주요 파트너와 협력하며 미국의 중요한 인프라 운영을 위협할 수 있는 악성코드에 대한 정보를 식별하고 신속하게 공유 중"이라며 "사이버 방어 협력(JCDC), 침해사고대응팀(CERT) 등 모든 조직이 위험을 줄일 수 있도록 협력하고 있다"고 밝혔다.
FBI 역시 "중요한 인프라를 대상으로 하는 악의적인 사이버 활동을 계속 주시하고 있다"며 "하지만 이것만으로는 완전하지 않으며 공공·민간 부문 파트너가 의심스러운 활동을 지속 공유해야 한다"고 밝혔다.
주요 보안 기업 역시 같은 입장을 발표했다. 맨디언트는 북대서양조약기구(NATO)와 서방의 제재가 길어질수록, 러시아의 보복 강도도 커지고 러시아의 지원을 받는 해킹 조직 역시 활발히 활동할 것이라고 경고했다.
팔로알토 네트웍스의 사이버위협 대응 조직 유닛42는 현재 확산하고 있는 데이터 파괴 악성코드 '에르메틱 와이퍼(Hermetic Wiper)'가 활동을 확대할 것이라고 내다봤으며, 이 과정에서 데이터 유출 등 추가적인 피해 역시 우려되지만, 우선은 기업이 데이터 파괴에 대비하는 것이 좋다고 덧붙였다.
국내에서도 주요 국가 공공기관을 대상으로 한 점검과 대비에 나서고 있다. 국가정보원 관계자는 "현재까지 국내 공공분야 대상으로 러시아-우크라이나 사태와 관련 사이버위협 특이동향은 포착되지 않았으며, 국정원은 해외 유관기관과 공조하여 사이버공격 발생을 지속해서 예의주시하고 있다"고 밝혔다.
국정원은 국제 정세 변화를 우려해 이미 2개월 전부터 사이버위기 경보 단계를 '관심'으로 유지하며, 관련 동향을 면밀히 주시해 왔으며, 사태 발발 직후인 25일에 모든 국가·공공기관에 보안권고문을 전파해 주요 시스템 취약요인 점검을 당부했다.
또한 공공분야 사이버공격에 대비한 대응 시나리오를 마련하는 등 대비태세를 강화하고 있으며, 유관기관과 합동으로 주요기관 대상 사이버보안 컨설팅과 대응훈련도 계획 중이라고 덧붙였다.
CISA는 "현재 주요 파트너와 협력하며 미국의 중요한 인프라 운영을 위협할 수 있는 악성코드에 대한 정보를 식별하고 신속하게 공유 중"이라며 "사이버 방어 협력(JCDC), 침해사고대응팀(CERT) 등 모든 조직이 위험을 줄일 수 있도록 협력하고 있다"고 밝혔다.
FBI 역시 "중요한 인프라를 대상으로 하는 악의적인 사이버 활동을 계속 주시하고 있다"며 "하지만 이것만으로는 완전하지 않으며 공공·민간 부문 파트너가 의심스러운 활동을 지속 공유해야 한다"고 밝혔다.
주요 보안 기업 역시 같은 입장을 발표했다. 맨디언트는 북대서양조약기구(NATO)와 서방의 제재가 길어질수록, 러시아의 보복 강도도 커지고 러시아의 지원을 받는 해킹 조직 역시 활발히 활동할 것이라고 경고했다.
팔로알토 네트웍스의 사이버위협 대응 조직 유닛42는 현재 확산하고 있는 데이터 파괴 악성코드 '에르메틱 와이퍼(Hermetic Wiper)'가 활동을 확대할 것이라고 내다봤으며, 이 과정에서 데이터 유출 등 추가적인 피해 역시 우려되지만, 우선은 기업이 데이터 파괴에 대비하는 것이 좋다고 덧붙였다.
국내에서도 주요 국가 공공기관을 대상으로 한 점검과 대비에 나서고 있다. 국가정보원 관계자는 "현재까지 국내 공공분야 대상으로 러시아-우크라이나 사태와 관련 사이버위협 특이동향은 포착되지 않았으며, 국정원은 해외 유관기관과 공조하여 사이버공격 발생을 지속해서 예의주시하고 있다"고 밝혔다.
국정원은 국제 정세 변화를 우려해 이미 2개월 전부터 사이버위기 경보 단계를 '관심'으로 유지하며, 관련 동향을 면밀히 주시해 왔으며, 사태 발발 직후인 25일에 모든 국가·공공기관에 보안권고문을 전파해 주요 시스템 취약요인 점검을 당부했다.
또한 공공분야 사이버공격에 대비한 대응 시나리오를 마련하는 등 대비태세를 강화하고 있으며, 유관기관과 합동으로 주요기관 대상 사이버보안 컨설팅과 대응훈련도 계획 중이라고 덧붙였다.