러시아, 2022년에 우크라이나에 대한 피싱 공격 늘었고, NATO 국가상대로는 3배 늘어

2021년 러시아 지상군이 우크라이나와의 국경을 따라 대규모로 이동하기 시작하면서 러시아 해커들은 키예프뿐만 아니라 동유럽 국가를 지원하는 서방 국가들을 대상으로 전례 없는 사이버 공격을 위한 토대를 마련하기 시작했다. 디지털 캠페인은 물리적 침공과 함께 대대적으로 진행되었지만, 최근 몇 달 동안 모스크바는 적어도 현재로서는 그 속도를 따라잡을 수 없는 것처럼 보인다.

현재 Google Cloud의 일부가 된 사이버 보안 회사인 Mandiant의 새로운 보고서에 따르면 2021년 봄과 가을에 피싱 시도가 급격히 증가했다. 피싱은 해킹의 일반적인 예비 단계로, 사기성 이메일, 링크, 웹사이트를 사용하여 합법적인 사용자를 속여 로그인 정보를 유출하도록 유도한 다음 후속 공격을 위한 문을 열어준다.

러시아가 우크라이나를 침공한 다음 해에 우크라이나를 대상으로 한 러시아 피싱 시도는 250% 증가했으며, 나토 국가를 대상으로 한 러시아 피싱은 2020년 기준과 비교하여 300% 이상 증가했다. 우크라이나 내에서는 150개 이상의 정부 기관을 표적으로 삼았으며, 국방부가 가장 많은 표적이 되었다.

보고서는 최근 모스크바가 사이버 작전을 철회한 것처럼 보이지만 아직 끝나지 않았다고 말했다.

보고서는 "러시아 정부의 지원을 받는 공격자들이 러시아의 전략적 목표를 달성하기 위해 우크라이나와 나토 파트너를 대상으로 공격을 계속할 것이라고 높은 확신을 가지고 평가합니다."라고 말한다.

맨디언트가 분석한 캠페인에는 2021년 9~10월에 맨디언트가 프로즌레이크라고 부르지만 다른 사람들은 악명 높은 팬시베어라고 부르는 그룹이 수행한 글로벌 피싱 작전이 포함된다. 러시아 군사 정보 기관인 GRU의 지원을 받는 이 조직은 2016년 대선을 앞두고 민주당 전국위원회를 해킹한 것으로 미국에서 가장 유명하다. 맨디언트는 프로즌레이크/팬시베어가 '나토 국가의 사용자를 대상으로 한 정부 지원 공격 활동'의 77% 이상을 차지했으며, 벨라루스의 동맹 그룹인 푸샤가 15.5%로 근소한 차이로 2위에 올랐다고 밝혔다.

침공이 시작된 이후 일부 관측통들은 한때 두려움의 대상이었던 러시아의 사이버 부대가 우크라이나를 오프라인 상태로 만드는 데 성공하지 못했다는 사실에 당혹스러워했다. 최근 관리들은 공격이 발생하고 있지만 서방의 많은 도움을 받은 우크라이나가 주로 공격을 막아냈다고 언급했다.

그러나 보고서는 피싱 시도 및 기타 사이버 정찰을 통해 얻은 액세스 권한을 바탕으로 러시아가 2022년 첫 4개월 동안 우크라이나 데이터를 지우려는 '와이퍼'를 사용하는 "더 파괴적인 사이버 공격"을 지난 8년보다 더 많이 수행했다고 말했다.

맨디언트의 수석 분석가인 루크 맥나마라(Luke McNamara)는 Breaking Defense에 보낸 이메일에서 "침공 초기에는 와이퍼가 매우 공격적이었고 그 수가 많았다는 점에서 정말 힘들었습니다."라고 말했다. "초기 침입이 성공하지 못하면서 와이퍼가 잠시 멈췄지만 여전히 많은 스파이 활동과 조사 사이버 활동이 계속되고 있었습니다."

"그는 "와이퍼 공격은 여전히 가끔씩 발생하지만 물리적 침입 초기와는 다릅니다."라고 언급했다.

이러한 파괴적인 공격과 준비된 피싱은 2022년 초부터 가끔 급증하긴 했지만 모두 감소했습니다. 맨디언트는 전반적으로 "공격의 속도가 느려지고 2022년 2월의 초기 공격보다 덜 조직적으로 보였다"고 보고했다.

맨디언트의 분석에 따르면 러시아가 전쟁 초기에 비축한 사이버 탄약을 많이 소진했을 가능성이 있다. 해커는 몇 달 또는 몇 년 동안 네트워크에 숨어 조용히 데이터를 훔칠 수 있지만, 일단 파괴적인 멀웨어를 실행하여 운영을 눈에 띄게 방해하면 누군가가 시스템에 무단으로 액세스한 것이 분명해지며 사이버 보안 전문가가 이를 차단할 수 있는 경우가 많다.

맨디언트는 "러시아 공격자들은 초기 파괴 활동을 수행하기 위해 수개월 전에 얻은 액세스 권한을 사용했는데, 공격이 복구되면서 이 액세스 권한이 손실되는 경우가 많았습니다."라고 보고했다. 이어서 보고서는 "공격자가 액세스 권한을 얻거나 되찾은 후 파괴적인 공격이 더 빨리 발생하는 경우가 많았습니다."라고 설명했다. 즉, 침공 전에는 러시아가 네트워크에 침투하여 잠시 잠복한 후 공격할 시간이 있었지만, 침공 후에는 거의 즉시 접속하여 공격하는 경우가 많아 사실상 다리를 놓자마자 다리를 불태워 버린 셈이다.

맨디언트는 정보 수집을 위해 "지속적인 접속을 희생하면서까지 파괴적인 공격에 우선순위를 두려는 의지"는 러시아가 우크라이나 네트워크 교란을 얼마나 중요하게 여기는지, 또는 단순히 잘못된 계획을 세우고 있는지를 보여준다고 결론지었다.

하지만 러시아는 최근 사이버 공격에서 어느 정도 자제력을 보이고 있다고 맨디언트는 말한다. 예를 들어, 2017년에 발생한 러시아의 낫페티야 공격은 우크라이나를 넘어 전 세계로 확산되어 글로벌 해운사 머스크의 운영을 마비시키고 전 세계적으로 수십억 달러의 피해를 입혔다. 2022년 2월에는 러시아 해커들이 Viasat 광대역 네트워크를 방해하여 우크라이나뿐만 아니라 엘론 머스크의 스타링크가 개입하기 전까지 유럽 전역의 통신을 마비시켰다. 그러나 그 이후로는 "우크라이나 외부로 파급 효과가 확산되었다는 증거는 거의 발견되지 않았다"고 맨디언트는 보고했다.

러시아는 2017년 키예프 일부를 잠시 정전시킨 인더스트리로이어/크래시오버라이드 바이러스처럼 우크라이나 전력망을 공격하기 위해 멀웨어를 사용하지도 않은 것으로 보인다. 맥나마라는 러시아에 전문성이 부족해서가 아니라고 말했다. "러시아는 마음만 먹으면 인더스트리로이어 V2에서 볼 수 있듯이 [물리적으로] 파괴적인 공격을 할 수 있는 능력과 의도를 분명히 가지고 있지만, 그렇게 하지는 않았습니다."

대신 러시아는 실제 공격에 의존하여 우크라이나 인프라에 대한 미사일 무기의 대부분을 확장하여 해킹으로 일시적으로 중단시키는 것이 아니라 영구적으로 파괴하려고 했다. 맥나마라의 평가에 따르면 이는 사이버 전쟁의 한계를 보여준다.

"사이버 도구는 종종 첩보 활동에 가장 잘 사용되며, 재래식 전쟁에서는 재래식 수단이 대부분의 파괴적인 영향을 미치기 때문입니다."라고 그는 말한다.