우크라이나를 겨냥한 러시아의 사이버 공격 행위가 점점 국경선을 넘어서고 있다. 그리고 우크라이나의 친구로 보이는 조직들에서도 피해가 나타나기 시작했다. 고도화 되지 않은 삭제형 멀웨어의 출현과 서방 국가들을 겨냥한 피싱 공격의 증가가 좋지 않은 징조가 되고 있다.

[보안뉴스 문가용 기자] 우크라이나에서 벌어지고 있는 사이버 공격 대부분 고도로 표적화 되어 있다. 하지만 이것이 우크라이나 안에서만 벌어지고 끝날 것 같지 않은 신호들이 나오고 있다. 그런 신호들 중 하나가 MS가 발견한 폭스블레이드(FoxBlade)다. 우크라이나 정부 시스템에서 발견된 멀웨어로 디도스 공격을 주 목적으로 하고 있다. 전문가들은 디도스 공격을 강력하게 하려면 감염된 공격 호스트들이 많아야 하기 때문에 폭스블레이드 운영자들이 공격 범위를 넓힐 가능성이 높다고 보고 있다.

​

[이미지 = utoimage]

그 외에 지난 24시간 동안 피싱 공격이 크게 늘어났다는 것도 좋지 않은 신호다. 이 공격이 심해지다가 급기야 일부가 밖으로 새나가 미국과 유럽의 조직들에서도 발견되고 있다. 보안 업체 벡트라(Vectra)의 보안 국장 네이든 아인웨흐터(Nathan Einwechter)는 우크라이나 영토 바깥에 있는 시스템들도 조만간 폭스블레이드 공격에 당하기 시작할 것이라고 주장한다. “그리고 우크라이나를 노린 사이버 공격에 한 번 당한 표적은 후에 랜섬웨어나 삭제형 멀웨어 등의 추가 공격에 노출되기가 더 쉽습니다.”

이런 상황에서 중요하게 고려해야 할 것은 공격자들이 어떤 조직들을 노리겠느냐 하는 것이다. 공격이 우크라이나 외부로 흘러나오기 시작한다면 일차적인 공격 표적과 관련이 깊은 단체일 가능성이 높기 때문이다. 예를 들어 최근 우크라이나에서 발생하는 사이버 공격의 표적이 정부 기관들이라면(실제로도 그렇다) 그 다음 표적은 우크라이나 정부와 밀접한 관계를 유지해왔던 조직들일 가능성이 보다 높다는 뜻이라는 것이다. 특히 우크라이나를 지원라는 정부 기관들이 표적이 될 수 있다.

아인웨흐터는 우크라이나를 직접 타격하는 것도 좋지만 우크라이나의 친구들을 치는 것도 전술적 효과가 높을 것이라고 설명한다. “각종 심리적 효과와 전술적 효과를 기대할 수 있습니다. 어떻게든 우위를 점하기 위해 온갖 수들을 동원해도 이상하지 않은 것이 공격자들의 당연한 움직임이고요.” 다만 아직까지 폭스블레이드 같은 멀웨가 어떤 방식으로 침투에 성공하는지는 정확히 밝혀지지 않고 있다. 그래서 우크라이나 외부로의 사이버 공격이 시작된다고 해도 효과적으로 방어하기 힘들 수 있다.

우크라이나 외부에서도 늘어나는 이메일 공격

결정적으로 보안 업체 아바난(Avanan)에 의하면 러시아 외부에서도 이메일을 통한 사이버 공격이 지난 24시간 동안 8배 증가했다고 한다. 특히 유럽과 미국의 제조 업체와 다국적 물류 기업, 운송 기업들에서 이런 공격들이 발견되고 있다고 한다. 공격의 궁극적 목적은 거의 대부분 계정 크리덴셜을 탈취하기 위한 것으로 보인다고 한다. 보안 업체 체크포인트(Check Point)의 CEO인 길 프리드리히(Gill Friedrich)는 “선박 회사들과 자동차 생산 시설들이 주요 표적이 되고 있다”고 말한다.

“한 선박 회사의 경우 국제적 규모를 갖추가 있던 회사였는데 표적 공격을 받았었습니다. 우크라이나 기업도 아니었는데 말이죠. 알고 보니 CEO가 우크라이나와 관련이 있는 인물이었습니다.” 하지만 이 사건이 정확한 표적 공격으로 인해 벌어진 일인지, 공격자 편에서 일이 잘 풀려 벌어진 일인지는 아직 정확히 알 수 없다고 프리드리히는 말한다.

그렇게 우크라이나 사태가 외부로 조금씩 퍼져가고 있는 분위기 속에서 보안 업체 이셋(ESET)은 이번 주 화요일 아이작와이퍼(IsaacWiper)라는 새로운 삭제형 멀웨어를 발견했다. 디스크를 삭제하는 기능을 가진 것으로 우크라이나 정부 조직과 관련된 시스템들을 표적으로 삼아 공격한다. 지난 주에도 이셋은 마스터 부트 기록(MBR)을 삭제하는 공격을 발견해 발표하기도 했다. 이 공격은 러시아가 우크라이나를 침공하기 수 시간 전에 시작됐다고 한다.

이셋은 이 공격에 사용된 멀웨어를 헤르메틱위자드(HermeticWizard)라고 부르고 있는데, 일각에서는 이것이 폭스블레이드와 동일한 것이라는 말이 나오기도 한다. “헤르메틱위자드와 아이작와이퍼는 확연히 다른 방식으로 설치됩니다. 헤르메틱위자드는 보다 고급스러운 기능을 가지고 있고, 아이작와이퍼는 조금 일차원적입니다. 그래서 표적 공격이 아니라 무차별적인 공격에도 곧잘 사용됩니다. 하지만 둘의 목적 자체는 같습니다. 데이터나 디스크를 못 쓰게 만드는 것이죠.” 이셋의 연구 팀장 장니앙 부탕(Jean-Ian Boutin)의 설명이다.

부탕은 “현재까지 우크라이나 전쟁과 관련된 사이버 공격은 거의 대부분 표적형 공격이었다”고 말한다. “하지만 고급 표적형 공격용 멀웨어가 아니라 무차별적인 공격에 어울리는 멀웨어가 새롭게 나타나기 시작했다는 건 시사하는 바가 큽니다. 러시아 해커들이 전혀 새로운 공격을, 새로운 표적들을 겨냥해 준비하고 있는 것일 수 있으니까요.”

3줄 요약

1. 우크라이나-러시아 전쟁은 사이버 공간에서도 활발히 진행 중.

2. 그러는 와중에 삭제형 멀웨어가 발견됐는데, 하나는 표적 공격용, 다른 하나는 보다 무차별적인 공격용.

3. 그런 가운데 우크라이나 외부 단체들도 피싱 공격을 받기 시작함.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=105165&page=1&mkind=1&kind=1)]​