[아이뉴스24 김혜경 기자] 지난 2월 러시아의 우크라이나 침공으로 시작된 전쟁이 반년 가까이 이어지고 있는 가운데 현재까지도 전쟁은 끝날 기미를 보이지 않고 있다.
무력 침공 이전 사이버 공간에서는 전조 현상이 감지되면서 대대적인 공세가 예고됐지만 현재까지 중대한 사건은 발생하지 않고 있는 것으로 알려졌다. 다만 주요 기반 시설을 겨냥한 멀웨어(악성 소프트웨어) 유포 등 러시아의 사이버 공세는 여전한 것으로 나타나 주의가 요구된다는 분석이다.
![우크라이나 특수통신정보보호국(SSSCIP)과 침해사고대응팀(CERT)에 따르면 올해 1월 1일부터 6월 30일까지 탐지된 사이버 공격은 총 1천350건으로 집계됐다. [사진=픽사베이]](https://image.inews24.com/v1/bfab9077b5fba1.jpg)
2일 우크라이나 특수통신정보보호국(SSSCIP)과 침해사고대응팀(CERT)에 따르면 올해 1월 1일부터 6월 30일까지 탐지된 사이버 공격은 총 1천350건으로 집계됐다. 이는 지난해 상반기 대비 3배 이상 늘어난 수치다.
이중 올해 초부터 개전 직전까지 집계된 사이버 공격 건수는 525건, 2월 24일부터 6월 말까지는 825건으로 나타났다. 분기별로 살펴보면 1분기(802건) 대비 2분기(548건) 집계 건수가 31.7% 줄었지만 데이터 탈취와 시스템 파괴 목적의 멀웨어 유포 활동은 여전히 활발하게 진행되고 있다고 우크라이나 CERT는 전했다.
CERT는 보고서를 통해 "1분기 통계와 비교했을 때 2분기에는 악성코드 범주의 보안 이벤트 수가 38% 증가했다"며 "이는 멀웨어 유포를 비롯해 이미 감염된 봇넷(botnet) 장치를 악용하거나 다시 감염시키기 위한 시도 관련 행위가 늘어난 것으로 분석된다"고 설명했다.
![2분기 탐지된 보안 이벤트 유형 통계 [사진=SSSCIP 보고서 발췌]](https://image.inews24.com/v1/4fcb15a200e388.jpg)
상반기 동안 러시아 연계 해커조직의 주요 타깃은 ▲정부‧공공기관 ▲안보‧방위시설 ▲에너지 부문 ▲금융기관 ▲상업 부문 ▲통신 부문 등의 순으로 나타났고, 공격 유형은 악성코드 유포가 가장 많았다. 연계된 해커집단은 ▲가마레돈 그룹(Gamaredon Group) ▲트릭봇(Trickbot) ▲샌드웜 ▲APT28 ▲APT29 ▲킬넷(KillNet) ▲인비지몰(InvisiMole) 등으로 나타났다.
2분기에는 이메일 피싱(Phishing) 공격 시도도 늘었다. 우크라이나 당국은 지난달 말 UAC-0010 그룹의 피싱 공격이 다시 발견됐다고 발표한 바 있다. 해당 조직은 물리적 침공 초기부터 우크라이나의 핵심 인프라를 공격하는데 활발한 움직임을 보여왔다.
CERT는 "최근 탐지되고 있는 러시아발 보안 이벤트 중 고도로 복잡하거나 식별하기 어려운 방법은 없다"며 "피싱 공격의 경우 우크라이나 공공 부문을 겨냥한 공격의 약 60~70%를 차지하고 있다"고 전했다.
현재까지 심각한 피해 상황은 발생하지 않고 있지만 우크라이나 당국이 보고서를 통해 밝힌 것처럼 '샌드웜(Sandworm)'의 전력망 해킹 시도는 현재까지 우크라이나 인프라를 노린 사이버 공격 중 가장 주목해야 할 사례로 꼽힌 바 있다.
지난 4월 12일(현지시간) 우크라이나 CERT와 슬로바키아 보안기업 ESET는 샌드웜이 전력망을 겨냥한 멀웨어인 '인더스트로이어(Industroyer)2'를 조기에 포착해 저지했다고 공개한 바 있다. 이는 인스트로이어에서 파생된 악성파일로, 2016년 12월 우크라이나 수도 키이우 일대에서 발생한 정전 사태의 원인이다. 해당 멀웨어는 ICS에 사용되는 특정 통신 프로토콜을 이용해 망 운영을 제어하고 공격하기 위해 설계됐다.
러시아 침공이 장기전 양상을 띄면서 사이버 전장은 우크라이나 외부로 확대되고 있다. 마이크로소프트(MS)에 따르면 6월 말 기준 42개국‧128개 기관에서 러시아 정보기관과 러시아 연계 해커집단의 네트워크 침입 흔적이 포착된 바 있다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기