CWN(CHANGE WITH NEWS) - 러시아 GRU 산하 해커 조직 ′샌드웜′, 우크라이나에 세 번째 정전 공격 시도

4월 12일(현지 시각), CNN, 와이어드, 테크타임스 등 복수 외신이 우크라이나를 겨냥한 정전 공격 발생 소식을 보도했다.

이번 정전 공격 시도는 러시아 첩보부대인 정보총국(GRU) 산하 해커 조직 샌드웜(Sandworm)의 소행으로 알려졌다. 샌드웜은 2015년과 2016년에도 각각 한 차례씩 우크라이나에 사이버 공격을 개시해 대규모 정전 피해를 일으킨 해커 조직이기도 하다.

우크라이나 정부 관계자는 샌드웜이 우크라이나 변전소 네트워크에 침입해 정전을 일으킬 수 있는 악성 코드를 유포하려 했다고 밝혔다.

우크라이나 사이버보안 기관인 특수 통신 및 정보 보호 국가서비스(SSSCIP) 최고 관료인 빅터 조라(Victor Zhora)는 CNN과의 인터뷰에서 우크라이나가 샌드웜의 공격을 무력화하면서 큰 피해를 막았으며, 추후 발생할 공격 예방까지 완료했다고 전했다.

우크라이나 컴퓨터 비상 대응팀(CERT-UA)과 슬로바키아 사이버 보안 기업 이셋(ESET)은 공격 감지 직후 샌드웜이 이번 공격에 ‘인더스트로이어(Industroyer)’에서 비교적 최근 파생된 멀웨어인 ‘인더스트로이어2’도 동원했다고 발표했다. 인더스트로이어2는 전력 시설 장비와 직접 연결해 변전소 장비 제어 명령을 내릴 수 있다.

‘크래시 오버라이드(Crash Override)’라는 이름으로도 알려진 멀웨어인 인더스트로이어는 2015년과 2016년, 샌드웜이 우크라이나에 대규모 정전 사태를 일으킬 때 이용한 멀웨어이다. 이에, 다수 사이버 보안 전문가는 샌드웜이 이번에 세 번째 대규모 정전 사태를 일으킬 의도로 공격한 것이 분명하다고 분석했다.

이셋 위협 연구 국장 진 이안 부틴(Jean-Ian Boutin)은 “우크라이나 전쟁 도중 러시아가 주요 기반 시설을 겨냥한 사이버 공격을 개시하리라 예측했다”라며, “샌드웜이 이번 공격에 몇 년 전 사용한 인더스트로이어에서 파생된 멀웨어를 사용한 것에 특히 주목해야 한다”라고 말했다.

CERT-UA와 이셋은 샌드웜이 이번 공격 대상으로 삼은 시설의 위치를 구체적으로 밝히지 않았다. 그러나 파리드 사파로프(Farid Safarov) 에너지부 차관은 이번에 공격 대상이 된 변전소는 우크라이나 시민 200만 명이 사용할 전력 공급을 담당하는 시설이라고 밝혔다.

미국 월간지 와이어드는 샌드웜의 이번 공격 시도는 러시아가 우크라이나 주요 기반 시설과 네트워크를 대상으로 한 새로운 대규모 사이버 공격을 동원한 침략 행위를 이어간다는 사실을 시사한다고 분석했다.

러시아는 전쟁 발발 직후부터 위성 인터넷 기업 비아샛(Viasat)을 공격해 우크라이나 군대 통신 장애를 일으키고, 우크라이나 네트워크를 겨냥해 데이터를 삭제하고자 한 와이퍼 멀웨어 유포 시도를 하는 등 사이버 공격을 계속 동원했다. 그러나 와이어드는 러시아의 사이버 공격이 100% 성공하지는 않았다고 언급했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]