러-우 전쟁 1년간 사이버 공격 3배 증가, 우리나라는 안전할까?

• 악성코드·랜섬웨어 앞세운 사이버 전면전 감행

전쟁이 시작된 2022년 2월~3월, 러시아는 조기에 승리를 달성하기 위해 육탄전 만큼이나 강한 사이버 공격을 감행했다. 침공을 시작하기 전인 2022년 2월 러시아는 해커 집단 DEV-0586을 동원해 우크라이나의 기관과 기업에 WhisperGate 와이퍼를 배포했다.

당시 최소 100개 이상의 우크라이나 조직이 9개 이상의 와이퍼 제품군과 2개 이상의 랜섬웨어의 타깃이 됐다. 공격은 주로 우크라이나의 정부 기관, 에너지, 미디어 등 분야에 걸쳐 수백 개의 파일을 영구적으로 삭제하거나, 디도스 공격을 퍼부어 주요 시스템을 마비시키는 형태로 진행됐다.

또한 러시아는 SNS를 활용한 사회 공학적 공격도 감행했다. 러시아의 국영 메신저는 미국의 생물 연구소가 우크라이나에서 생화학 무기를 만들고 있다며 미국과 우크라이나에 대한 부정적 시각을 심으려고 했다. 이 외에도 침략을 정당화하기 위한 가짜 영상을 만들어 배포하기도 했다.

• 피싱 공격을 통한 우크라이나 지원 방해 
 
전쟁의 조기 승리에 실패한 러시아는 2022년 4월부터 9월까지 사이버 공격의 초점을 키예프 등 우크라이나 국내외 군수, 물품 등에 대한 지원을 방해하는 것으로 전환했다. 특히 러시아는 사이버 스파이를 통해 우크라이나의 운송 인프라에 대한 정보를 수집한 후, 이를 기반으로 우크라이나 물류 시설에 수많은 미사일을 퍼부었다.

해커 그룹 악티니움(ACTINIUM)은 4월부터 6월까지 우크라이나에서 활동하는 구호 단체와 전쟁 범죄를 수사하는 단체를 대상으로 수차례 피싱 공격을 일삼았다. 이들은 인도적인 지원을 요청하는 우크라이나 군 관계자로 위장한 피싱 메일을 보내 단체의 네트워크에 접근을 시도하기도 했다. 또한 콜드리버(ColdRiver)로 알려진 해커 그룹 SEABORGIUM은 무기, 드론, 보호 장비 등 미국과 유럽의 군수품을 생산하는 조직에 침투하기 위한 피싱 메시지를 보냈다.

• 나토, 미국 등 우크라이나 지원국으로 산업 인프라 공격 확대
    
전쟁이 6개월을 넘겨 장기전으로 돌입한 2022년 9월부터 러시아는 우크라이나로의 공급망을 방해하기 위한 작전을 세운 후 점차 확대해 나가고 있다. 러시아 해커 그룹 IRIDIUMD은 프레스티지(Prestige) 랜섬웨어를 통해 우크라이나를 지원하는 나토 회원국인 폴란드의 철도 시설 등 운송 인프라를 공격했으며, 또 다른 해커 그룹 STRONTIUM은 폴란드의 운송 기업과 미국에 기반을 둔 비정부 기구, 싱크 탱크, 핵 발전소에 대한 공격까지 감행한 것으로 알려졌다.

• 사이버 핵심 전력 IT 군대 운영

우크라이나는 전쟁 발발 이후 사이버 핵심 전력인 ‘IT Army of Ukraine(IT 군대)’를 모집했다. IT 군대는 러시아의 FSB, SberBank와 같은 정부, 은행, 주요 기관, 전력망, 철도 등에 디도스 공격을 퍼부어 러시아 군의 이동 시간을 지연시켰다. 또한 러시아의 시위, 통제, 대테러 등을 담당하는 부대의 여권 정보, 군인 번호, 신용카드 등 개인정보를 탈취해 전략 무기 구매에 사용했다. 이 외에도 러시아군의 통신 서버에 침투해 자료를 입수하는 등 정보전에서도 중요한 임무를 수행했다.

• 동맹국 지원을 통한 사이버 전력 강화

동맹국과 주요 보안 기업의 지원을 통해 사이버 공격에 대한 대응 능력을 강화하는 것도 중요하다. 우크라이나는 크림반도를 합병한 이후 미국과 폴란드 등 주변 국가로부터 사이버 안보 역량을 강화하기 위한 지원을 받아왔다.

미국은 2021년 우크라이나에 사이버 전문가를 파견해 직접 우크라이나의 철도 시스템에 설치된 멀웨어를 제거했으며, 우크라이나 정부 사이트에 대한 디도스 공격을 막기 위해 보안 기업인 포티넷과 계약을 체결하고 보안 솔루션을 제공하기도 했다.

우크라이나는 나토와의 사이버 동맹도 강화했다. 나토는 고위급 성명에서 우크라이나에 대한 지원을 공식화하고, 우크라이나를 나토 사이버방위협력센터 회원국으로 신속 절차를 통해 가입시켰다. 또한 EU 등 일부 국가들은 러시아의 사이버 공격으로 인한 피해를 복구하기 위해 CRRT(Cyber Rapid Response Team)을 파견했다.

• 기업 협력을 통한 IT 인프라 유지

기업들도 우크라이나에 대한 사이버 지원을 아끼지 않았다. 스페이스X의 CEO 일론 머스크는 인터넷 접속과 통신 시스템 확보를 위해 우크라이나에 스타링크를 지원했으며, 맨디언트는 비아샛(ViaSat) 사용자들에게 악성 펌웨어에 대한 업데이트를 제공했다. 또한 MS는 우크라이나 시스템 내 멀웨어 탐지 및 감염 정도를 파악하는 위협정보센터를 운영해 실시간으로 러시아의 공격 정황을 우크라이나에 공유하고 대응하도록 했다. 이외에도 국제 핵티비스트 그룹 어나니머스도 러시아 국영 기업을 해킹하는 등 우크라이나를 자발적으로 지원했다

• 자체 사이버 안보 역량 강화, 대응 원칙 수립 필요

나토와 EU 등 국제 연합 기구는 공동 방위를 위해 사이버 공격에 대한 확실한 대응 원칙을 명시하고 있다. 미국도 2010년 이후 사이버 공격 발생 시의 대응 원칙을 수립하고 있다. 이들은 모두 악의적인 사이버 공격에 대한 외교 툴킷을 공개해 공개 지목, 기소, 경제적 제재 조치를 시행한다.

우리나라도 2022년 11월부터 국가정보원을 중심으로 민관 합동 국가사이버안보협력센터를 개소하는 등 자체 사이버 안보 역량을 강화하고 있다. 하지만 아직까지 사이버 위협에 대한 공유·대응 시스템에 초점이 맞춰져 있고 사이버 공격 발생 시 효력을 발휘할 수 있는 확실한 대응 원칙과 법령은 미비한 상태다.

또한 공격에 대한 국가적 대응 활동도 각 부처별 소관 개별 법령에 따라 제각각 분리-독립 대응하고 있어 국가 사이버 안보 위협 상황 발생 시 범정부 차원의 종합적인 대응 원칙을 수립할 필요가 있다.

• 폭넓은 국제 협력 강화
  
러-우 전쟁 발발 이후 사이버 공간에서의 진영 간 충돌이 심화되고 있다. 전쟁 당사국을   지원하는 국가가 늘어나면서 전쟁 참여자가 확대되는 것이다. 이에 따라 진영 간 대립으로 인한 피해 발생 가능성이 커지고 있다. 이는 추후 사이버 전쟁에서 어떤 국가, 기구와 협력하고 있는지가 중요한 요점이 될 것을 말해준다.
      
이에 우리나라도 나토 사이버방위센터(NATO CCDCOE) 기여국 가입을 통한 정상회의 참여로 진영 간 대립에 따른 피해 발생 가능성을 줄여 나가야 한다. 또한 폭넓은 국제 협력을 통해 사이버 보안 역량을 키워갈 필요가 있다.

• 민간 사이버 보안 역량·협력 강화 
    
미국의 경우, 전문가들이 국가와의 계약을 통해 전·평시 구분 없이 직간접적으로 동맹국을 지원할 수 있는 Cyber National Guard를 운영하고 있다. 이를 통해 미국은 동맹국 등 주변 국가의 사이버 위협 대응을 지원하고 있다.

러-우 전쟁에서 많은 기업들이 통신 인프라 등을 통해 우크라이나의 사이버 전력을 지원했던 것처럼, 사이버 전쟁에서 민간의 역할은 생각보다 크다. 특히 사이버 전쟁에서 활용될 수 있는 인터넷 플랫폼은 민간 기업에 대한 의존도가 높다. 이에 우리나라도 기업의 선진 보안 기술 개발을 지원해 사이버 위기 상황 시 도움을 받을 수 있도록 하고, 상호 간 협력 체계도 강화해야 한다.