러시아의 침략으로 우크라이나 전쟁이 발발하며, 양국의 사이버 전쟁도 장기화되고 있다. 러시아와 우크라이나 간 사이버 전쟁이 이어지는 가운데, 구글은 양국의 조직이 서비스 거부 공격을 개시할 의도로 개발한 가짜 안드로이드 앱을 새로 발견했다.
미국 온라인 테크 매체 Ars테크니카는 친러 성향의 조직이 가짜 안드로이드 앱과 심각한 보안 취약점, 이메일 피싱 공격 등을 동원해 로그인 기밀 정보를 탈취한 사례가 발견됐다는 구글 연구팀의 발표 내용을 보도했다.
가장 최근 발견된 러시아 세력의 대규모 공격 작전 중 하나는 최소 1997년부터 존재한 것으로 알려진 작전인 ‘툴라(Turla)’이다.
구글은 툴라가 러시아 웹사이트에 디도스 공격을 개시할 수단으로 위장한 안드로이드 앱인 ‘사이버 아조브(Cyber Azov)’로 우크라이나 활동가 집단을 공격 표적으로 삼았다고 설명했다.
사이버 아조브 홍보 웹사이트에는 “사이버 아조브 앱 설치 직후 러시아 웹사이트의 자원에 문제를 일으킬 요청을 보내면서 디도스 공격을 개시한다”라는 안내 문구가 있다.
러시아 지지 세력이 윈도 지원 버전의 심각한 보안 취약점을 악용해, 2개월 이상 제로 데이 공격을 개시한 사실도 발견됐다. 해당 공격은 ‘폴리나(Follina)’라는 이름으로 알려졌다. 이와 관련, 구글은 러시아 정부의 지원을 받는 사이버 공격 세력인 APT28 등 여러 해커 조직이 폴리나 공격으로 멀웨어를 유포했다고 설명했다. 폴리나 공격은 보안이 취약한 우크라이나 정부 계정에 마이크로소프트 문서 링크를 전송하여, 멀웨어 접근을 유도한다.
반대로 우크라이나 측에서 러시아를 겨냥한 사이버 공격 사례도 관측됐다.
구글 연구팀은 사이버 아조브와 비슷한 또 다른 가짜 앱인 스탑워(StopWar) 앱도 발견했다. 스탑워는 툴라와 마찬가지로 서비스 거부 공격을 개시하지만, 사이버 아조브와는 달리 사용자가 앱 사용을 중단할 때까지 계속 서비스 장애를 유발하는 작업 요청을 보낸다.
구글 연구원 빌리 레오나르드(Billy Leonard)는 “스탑워 앱은 우크라이나 지지 세력이 개발했으며, 사이버 아조브와 비슷한 공격 수법을 사용하는 것으로 보인다”라고 말했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
