[우크라 침공] ‘캐디와이퍼’‧‘더블제로’…연이어 발견되는 악성 프로그램


"우크라 침공 후 발견되는 멀웨어 공통점은 시스템 파괴"

[아이뉴스24 김혜경 기자] 러시아의 우크라이나 침공이 4주째 접어든 가운데 시스템 파괴를 목적으로 한 멀웨어(악성 소프트웨어)도 연이어 발견되고 있다. 러시아가 제재에 동참한 국가와 기업을 대상으로 보복성 사이버 공격을 펼칠 우려가 높아지면서 국내에서도 사이버위협 대응 단계를 격상하는 등 예의 주시하는 모양새다.

24일 ESET와 우크라이나 침해사고대응팀(CERT)에 따르면 '캐디와이퍼(CaddyWiper)'와 '더블제로(DoubleZero)'로 명명된 멀웨어가 발견됐다.
24일 ESET와 우크라이나 침해사고대응팀(CERT)에 따르면 '캐디와이퍼(CaddyWiper)'와 '더블제로(DoubleZero)'로 명명된 멀웨어가 발견됐다.

24일 ESET와 우크라이나 침해사고대응팀(CERT)에 따르면 지난 15일에는 '캐디와이퍼(CaddyWiper)'가 23일에는 '더블제로(DoubleZero)'라고 명명된 멀웨어가 발견됐다. 이는 러시아의 우크라이나 침공과 관련된 각각 4‧5번째 멀웨어다.

ESET는 "해당 멀웨어는 연결된 드라이브에서 사용자 데이터와 파티션 정보를 삭제한다"며 "스토리지 파티션을 '0'으로 바꾸며 복구를 불가능하게 만든다"고 분석했다. ESET에 따르면 캐디와이퍼는 우크라이나 내 금융 기관을 주요 목표로 삼았다. ESET는 "이미 알려진 다른 멀웨어와는 코드 유사성을 공유하지 않는 것으로 보인다"고 설명했다.

이어 우크라이나 CERT는 더블제로라는 멀웨어가 자국 내 주요 기관을 겨냥했다며 관련 보고서를 발표했다. CERT 조사 결과 압축 파일 형태로 유포됐으며 악성 파일에는 '닷넷(.NET)'이라는 프로그램이 포함됐다.

지난 23일 우크라이나 CERT는 '더블제로'라는 멀웨어가 자국 내 주요 기관을 겨냥했다며 관련 보고서를 발표했다. [사진=트위터 화면 캡쳐 ]
지난 23일 우크라이나 CERT는 '더블제로'라는 멀웨어가 자국 내 주요 기관을 겨냥했다며 관련 보고서를 발표했다. [사진=트위터 화면 캡쳐 ]

문종현 이스트시큐리티 ESRC 센터장은 "'마스터 부트 레코드(Master Boot Record‧MBR)' 파괴 용도의 악성파일이 지속적으로 발견되고 있는데 현재까지 알려진 멀웨어들은 모두 비슷한 계열"이라며 "코로나 바이러스도 새로운 변이가 출현하는 것처럼 악성 프로그램 제작자도 탐지를 피하기 위해 변종을 만든다"고 설명했다.

현재까지 발견된 멀웨어들의 공통점은 시스템 파괴다. 하드디스크의 첫 번째 저장공간인 MBR 영역을 파괴하면 부팅에 문제가 발생한다.

앞서 MS 인텔리전스센터(MSTIC)가 발견한 '위스퍼게이트(WhisperGate)'는 랜섬웨어(Ransomware)로 위장한 와이퍼(Wiper) 악성 프로그램이다. 랜섬웨어가 컴퓨터 사용자의 파일을 담보로 금전을 요구하는 유형이라면, 와이퍼는 컴퓨터에 침투할 경우 데이터를 삭제한다.

MSTIC에 따르면 위스퍼게이트는 1월 13일 최초 발견됐으며 우크라이나의 정부 기관과 비영리단체 등에서 사용 중인 컴퓨터를 손상시킨 것으로 나타났다. 당시 우크라이나 정부 등은 공격 배후로 러시아 정부를 지목했지만 러시아는 부인한 바 있다.

2월에 발견된 '헤르메틱와이퍼(HermeticWiper)'도 위스퍼게이트의 연장선상이다. ESET는 "해당 악성 프로그램은 우크라이나에 있는 수백 대의 장치에 설치된 것으로 나타났다"고 전했다. 해커들은 키프로스의 한 게임회사의 디지털 서명을 해킹해 악성파일을 넣고 정상적인 프로그램으로 보이도록 위장했다.

2014년 러시아의 크림반도 합병 과정에서 등장한 '리틀 그린 맨(Little green men)'은 침공 초기 미국과 유럽이 러시아의 의도를 규명하는데 혼란스럽게 만들었다. 당시 러시아 군인은 소속부대, 계급 등이 식별되지 않는 녹색 군복을 착용했고, 애매모호한 군사 행동을 보였다. 러시아 정부는 자국 군인임을 지속적으로 부인했지만 뒤늦게 인정한 바 있다. 해킹 기법도 이와 유사하다는 것.

문 센터장은 "현재까지 포착된 것보다 은폐된 악성 프로그램이 더 많을 것"이라며 "최근 바이든 대통령이 언급한 것처럼 교통‧전력시설 등 주요 인프라를 대상으로 한 해킹 가능성과 제3국으로도 사이버전이 확전될 수 있으므로 주의가 요구된다"고 말했다.

지난 21일(현지시간) 조 바이든 미국 대통령은 성명을 통해 "러시아가 사이버 공격 선택지들을 검토하고 있다는 첩보가 늘고 있다"며 "전력·송유관·수자원 부문에서의 사이버보안을 강화할 공공·민간 액션플랜을 시행 중"이라고 전했다. 국내에서도 국방부와 국가정보원, 과학기술정보통신부가 공공‧민간 분야 사이버 위기 경보를 일제히 격상한 바 있다.

/김혜경 기자(hkmind9000@inews24.com)







포토뉴스