[데이터넷] 러시아-우크라이나 전쟁과 이스라엘-하마스 전쟁에서 나타난 사이버 위협 동향이 크게 달라 그 배경이 주목된다.

러-우 전쟁에서는 러시아의 우크라이나와 NATO 가입국 타깃 공격이 집중됐지만, 이스라엘-하마스 전쟁에서는 이스라엘을 표적으로 한 공격이 ‘이전과 달리’ 크게 늘지 않았으며, 이전에 수행하던 활동의 연장선에서 이어지는 것으로 보인다.

구글 위협 분석 그룹(TAG)과 맨디언트, 트러스트 앤 세이프티 등 구글의 보안전문 조직이 참여해 작성한 ‘최초의 수단: 이스라엘-하마스 사이버 전쟁’ 보고서에서는 두 전쟁과 관련된 위협 행위의 차이를 비교하면서 사이버 위협 생태계의 변화를 집중 분석했다.

이스라엘-하마스 사이버 전, 인근 국가 확대 예상

보고서에 따르면 하마스의 이스라엘 침공 후, 이란·헤즈볼라 연계 그룹이 지속적으로 이스라엘과 미국 기업을 표적으로 공격하고 있다. 특히 이스라엘과 미국 중요 인프라 타깃 공격과 해킹·유출 작전, 그리고 자신의 행동에 대한 과대포장 홍보 전략을 볼 수 있다.

그러면서 이스라엘 시민의 사기를 저하시키고, 중요 조직에 대한 신뢰를 악화시키며, 전 세계 여론을 이스라엘에게 불리하도록 만드는 정보작전이 전개됐다. 더불어 주요 의사결정자에 대한 정보를 수집하기 위해 이스라엘, 미국 기반 사용자를 대상으로 한 피싱 캠페인이 전개되고 있다.

이스라엘 배후의 사이버 위협 행위라고 스스로 홍보하는 ‘곤제슈케 다란드Gonjeshke Darande(프레데터리 스패로우 Predatory Sparrow)’라는 공격자가 등장했다. 이란 주유소를 오프라인 상태로 만들고 인프라와 결제 시스템을 해킹하면서 이란을 옹호하는 메시지를 내보냈다.

하마스는 10월 7일 테러 이후 사이버 작전을 사용한 흔적을 찾을 수 없으나, 전쟁 전에는 악성코드를 유포하고 데이터를 훔치는 대규모 피싱과 모바일 스파이웨어 등을 통한 첩보 활동을 벌여왔다.

보고서는 러시아-우크라이나 전쟁 당시와 명백히 비교되는 점에 대해 설명했다. 러-우 전쟁을 전후로 우크라이나 타깃 공격 2.5배, NATO 타깃 공격 3배 증가했으며, 우크라이나 주요 인프라를 파괴하기 이한 집요한 공격이 계속됐다. 올해 초에도 우크라이나 최대 통신사 키이우스타(Kyivstar)를 해킹해 이틀간 통신 서비스가 중단되는 피해를 입히기도 했다.

이스라엘-하마스 전쟁에서는 이스라엘 표적 사이버 공격 급증 등의 정황은 나타나지 않았다. 대신 레바논, 예멘 등 인접한 여러 국가에 대한 이란 대리 그룹 활동이 등장하면서 전선이 확대될 것으로 보인다.

왜냐하면 이스라엘-하마스는 적대적인 두 국가의 갈등이 아니라 이스라엘-팔레스타인의 문제이면서 미국과 서유럽을 중심으로 한 서방세계와 중동지역 세력과의 갈등으로 인해 발생한 것이기 때문이다. 보고서는 향후 중동의 다른 지역으로 광범위한 사이버 첩보 활동으로 전개될 가능성을 시사했다.

김선애 기자 다른기사 보기