"러시아 해킹집단, 전쟁 중 사이버 공격 활발"

[지디넷코리아]

러시아 정부 지원을 받는 해킹집단의 우크라이나 전쟁 중 공격활동을 조명한 보고서가 나왔다.

마이크로소프트는 최근 올해 3월부터 10월까지 러시아의 사이버 위협 및 공격 활동을 관찰해 분석한 보고서 '러시아 위협 행위자, 전쟁 피로에 편승할 준비(Russian Threat Actors Dig In, Prepare to Seize on War Fatigue)'를 발표했다.

이 보고서에 의하면, 조사 기간 중 우크라이나를 표적으로 한 사이버 스파이 행위가 집중적으로 발생했다. 러시아 군과 사이버 선전 행위자는 우크라이나 농업 부문에 합동 공격을 가했다. 우크라이나 군 및 외부 지원 세력, 나아가 전쟁 범죄 수사관을 표적으로 사이버 공격하기도 했다.

마이크로소프트는 피해를 최소화하기 위해 고객 및 정부 파트너에게 이 사실을 알리고 협력했다.

■ 우크라이나 농업 부문에 대한 다각적인 공격

올여름, 러시아의 군사, 사이버 조직, 선전 부대가 우크라이나의 농업 부문을 집중적으로 공격했다. 마이크로소프트 위협 인텔리전스는 우크라이나의 농업 관련 데이터 유출을 감지했으며, 농업 산업 및 운송 인프라 기관을 대상으로 한 악성소프트웨어를 발견했다.

아쿠아 블리자드는 농작물 수확량을 추적하는 회사의 데이터를 탈취했으며, 러시아 정보기관(GRU)와 연관된 시셸 블리자드는 식품 및 농업 부문 네트워크에 파괴적인 악성소프트웨어 변종을 사용했다. 이러한 공격으로 100만명 이상이 1년 동안 먹을 수 있는 양의 곡물이 파괴됐다.

지난 겨울에 러시아가 에너지 위기를 조성하고 우크라이나의 에너지 부문을 공격하는 데 주력했던 것처럼, 따뜻한 재배 기간과 수확 기간 동안 러시아는 농업 기업에 침투하여 데이터를 훔치고 악성 코드를 배포했으며 군사 공격을 통해 1년 동안 100만 명에게 먹이를 줄 수 있는 곡물을 파괴했다. 이는 군사, 선전 및 사이버 공격 노력이 상호 강력하게 연계됐다는 것을 보여준다.

예를 들어 모스크바가 흑해 곡물 이니셔티브에서 탈퇴한 후 2023년 7월 말 4일 동안 러시아는 순항미사일 10발로 오데사 농업시설을 공격했고, 우크라이나 농업 장비 조직에 사이버 공격이 개시됐다. 우크라이나, 미국, NATO가 인도주의적 지원보다 테러 목적으로 곡물 통로를 남용하고 있다는 내용으로 친러시아 언론 매체에 잘못된 이야기를 퍼뜨렸다.

■ 전쟁범죄 수사관 표적 공격

러시아군은 국제법 위반 행위를 조사하는 수사관과 검사를 공격했다. 마이크로소프트의 원격 분석에 따르면 러시아 군사 및 관련 위험조직들이 우크라이나의 법률 및 수사 네트워크, 그리고 이와 관련한 국제기구에 침입했다.

시쉘 블리자드는 전쟁 범죄 사건을 수사하는 로펌 네트워크를 침해했고, 아쿠아 블리자드는 우크라이나 주요 수사 기관의 내부 네트워크에 침투하여 피해 계정을 사용해 우크라이나 통신사로 피싱 이메일을 보냈다. 미드나잇 블리자드(Midnight Blizzard)는 글로벌 법률 기관까지 공격했다. 마이크로소프트의 분석에 따르면 미국, 캐나다 및 유럽 국가에 있는 240개 이상의 조직에 접근을 시도한 것으로 파악됐다.

■ 반 우크라이나 선동 작전

마이크로소프트 위협분석센터(MTAC)는 친러시아 작전 수행조직 ‘스톰-1099(Storm-1099)’의 활동을 추적했다. 그들은 ‘도플갱어(Doppelganger)’라고 불리는 대규모 웹사이트 위조 작전을 펼쳤다. 반 우크라이나 메시지를 함의하는 만화 시리즈 ‘우크라이나 인코포레이트(Ukraine Inc.)’를 배포했으며, 디지털과 물리적 세계를 연결하는 현장 시위를 주도했다. 스톰-1099는 독일 등 서유럽 국가를 대상으로 활동해왔지만 최근 몇 달 동안 미국과 이스라엘로 그 초점을 옮겼다.

■ 이스라엘-하마스 전쟁을 악용한 우크라이나 비방

러시아는 지난 10월 7일 발발한 이스라엘-하마스 전쟁을 악용해 반우크라이나 및 반미국 정서를 조장하고 있다. 유명 언론 매체를 사칭하고 조작된 동영상을 유포해 우크라이나가 하마스 무장 세력을 지원했다는 거짓 뉴스를 퍼뜨렸다.

이는 이스라엘과 우크라이나 간 갈등을 조장하고 우크라이나에 대한 서방의 지지를 약화하고자 하는 의도다. 그들은 또한 미국인을 포함한 외국인 신병들이 이스라엘 방위군(IDF)의 작전에 참여하기 위해 우크라이나에서 이송되었다는 가짜 뉴스를 유포하기도 했다. 이는 소셜 미디어 플랫폼을 통해 수십만 건의 조회수를 기록했다. 이는 이스라엘-하마스 분쟁이 서방의 관심을 분산하여 러시아에게 지정학적 이점을 가져올 것이라는 분석에 기반한 공격이며, 앞으로도 계속될 것으로 예상된다.

■ 주류 언론 사칭을 통한 반 우크라이나 비디오 콘텐츠 유포

마이크로소프트 위협 분석 센터는 권위 있는 미디어 매체를 사칭해 조작된 반 우크라이나 동영상 콘텐츠를 유포하는 친러시아 조직의 소행을 지속적으로 관찰했다. 이들은 볼로디미르 젤렌스키 우크라이나 대통령을 부패한 마약 중독자로 묘사했으며, 키이우에 대한 서방의 지원이 자국민에게 해로운 결정인 것으로 묘사하는 데에 주력했다. 일례로 지난 작년 4월 친러시아 성향의 텔레그램 채널에 우크라이나 군이 수십 명의 민간인 인명 피해를 낸 미사일 공격에 책임이 있다고 주장하는 가짜 BBC 뉴스 동영상이 게시됐다. 이를 시작으로 언론 사칭이 이어져 왔으며, 가장 많이 사칭 된 언론은 BBC 뉴스, 알자지라, 유로뉴스 등이다.

미국배우를 비롯한 여러 사람들이 자신도 모르는 사이에 카메오(Cameo) 같은 비디오 메시지 플랫폼을 통해 '블라디미르(Vladimir)'란 사람에게 약물 남용에 도움을 달라는 요청 메시지를 보냈다. 그런 다음 해당 동영상은 이모티콘, 링크, 언론매체 로고 등을 포함하도록 수정됐고, 소셜미디어로 유포돼 우크라이나 지도자가 약물 남용으로 어려움을 겪고 있다는 러시아의 주장을 뒷받침하는데 쓰였다.

지난 8월 바그너그룹의 수장이었던 예브게니 프리고진의 사망은 러시아의 영향력과 선전 능력에 의문을 제기하게 했다. 하지만 그 이후 프리고진과 연결되지 않은 러시아 행위자가 광범위한 작전을 펼쳤고, 이는 러시아가 프리고진 없이도 다각적이고 정교한 작전을 지속할 수 있다는 것을 보여줬다.

■ 향후 전망

우크라이나가 러시아에 대항하려면 꾸준한 무기 공급과 대중의 지지가 필요하다. 이 점을 노린 러시아가 우크라이나에 대한 군사 및 재정 지원을 약화하기 위해 사이버 공격을 강화할 것으로 전망된다. 마이크로소프트는 이러한 광범위한 위협으로부터 우크라이나와 전 세계의 고객을 보호하기 위해 노력하고 있다고 강조한다.

마이크로소프트는 “현재까지 러시아의 위협 행위자와 선전가는 AI 도구를 활용하거나 영향력 있는 작전에 통합하는 정교한 기능을 입증하지 못했다”며 “마이크로소프트는 이 영역을 계속 면밀히 모니터링하고 있다”고 밝혔다.

이어 “’안전한 미래 이니셔티브(Secure Future Initiative)’에 따라 사이버 위협으로부터 민간인을 보호하기 위한 국제 규범을 강화하려는 노력과 함께 AI 기반 사이버 방어 및 보안 소프트웨어 엔지니어링의 발전을 통합하고 있다”고 강조했다.