[데이터넷] 러시아가 물리적 전쟁과 사이버 전쟁을 병행하는 하이브리드 전쟁을 벌이고 있다. 24일 우크라이나 공습을 시작한 러시아는 지난해 말부터 우크라이나 타깃 사이버 공격을 진행하고 있으며, 데이터 유출과 삭제, 시스템 파괴 등의 피해를 입히고 있는 것으로 나타났다.

영국과 미국의 정보기관은 러시아 배후 해킹 그룹 샌드웜(Sandworm)이 사이클롭스 블링크(Cyclops Blink) 혹은 부두베어(Voodoo Bear)라는 새로운 유형의 멀웨어를 개발했다고 경고했다. 이 바이러스는 우크라이나 전력망 공격, 인더스트로이어, 낫페트야, 평창올림픽, 조지아 타깃 공격 등을 벌여온 집단과 연관 있는 것으로 알려진다.

샌드웜은 평창동계올림픽에도 사용된 VPN필터를 이용해 공격을 진행해 왔으며, 당시 트래픽 조작, 감염된 호스트 파괴, 다운스트림 악용 등의 활동을 벌였으며, 모드버스 SCADA 프로토콜 모니터링을 진행했다. 이번에 발견된 사이클롭스 블링크는 VPN필터를 재구성한 것으로 보이며, UTM 솔루션 워치가드를 통해 배포했지만 최근에는 다른 아키텍처와 펌웨어용으로 악성코드를 컴파일 할 수 있게 한다.

또 유럽 보안 기업 이셋은 24일 우크라이나 수백대 컴퓨터 데이터를 삭제하는 멀웨어를 발견했으며, 이 멀웨어는 작년 12월 28일부터 준비된 것으로 분석됐다고 설명했다. 이 멀웨어는 파티션 관리 소프트웨어인 ‘EaseUS Partition Master’를 손상시키고 AD를 통해 GPO를 제어, 데이터를 삭제하는 것으로 보인다.

우크라이나는 올해 초부터 정부·공공기관, 의회와 은행을 타깃으로 하는 대규모 디도스 공격을 심각한 피해를 입고 있었으며, 러시아 공습이 시작되면서 더 적극적으로 공격에 나서고 있다.

존 헐트퀴스트(John Hultquist) 맨디언트 위협 인텔리전스 부사장은 “국가기반 공격 조직은 상대 국가를 교란하고 기반을 약화시키기 위해 활동하며, 한 번의 공격으로 끝나지 않는다. 심리적인 영향을 확대하기 위해 특정 시기에 맞춰 공격하거나 다른 형태의 공격을 동반할 수 있다”고 경고했다.

김선애 기자 다른기사 보기