보안

우크라이나가 직접 겪은 러시아 ‘사이버 공격’ 교훈과 시사점

Christopher Burgess | CSO 2023.04.06
우크라이나의 국가 특수통신 및 정보보호 서비스(SSSCIP)가 최근 ‘러시아의 사이버 전술: 2022년에 얻은 교훈(Russia’s Cyber Tactics: Lessons Learned in 2022)’이라는 제목의 보고서를 발표했다. SSSCIP 보고서는 주요 공격 대상, 정부의 후원을 받는 APT 그룹과 ‘핵티비스트’간의 협력, 첩보 작전 및 영향력 작전, 우크라이나에서 분석하고 밝혀낸 사항을 중점적으로 다루고 있다. 

SSSCIP 부의장 빅토르 조라는 우크라이나가 2014년부터 러시아 사이버 공격의 시험대이자 공격 대상이 돼 왔다고 강조했다. 또한 러시아의 사이버 공격은 어느 정도 성공을 거두긴 했지만, 우크라이나 탄력적인 방어책과 여러 파트너의 지원으로 부분적인 성공에 그쳤다고 언급했다.
 
ⓒGetty Images Bank
 

“사이버 전쟁의 잠재적 여파에 유의하라”

앞서 언급한 파트너 가운데 마이크로소프트와 구글은 대규모 자금과 기술을 투자했다. 아울러 마이크로소프트구글도 최근 러시아가 우크라이나를 상대로 벌인 사이버 전쟁을 분석한 자료를 공개했다. CISO는 이런 자료를 검토할 때 러시아와 우크라이나 간 사이버 전쟁이 미칠 수 있는 영향을 이해해야 한다.

보고서는 러시아의 사이버 전쟁이 2020년 10월부터 시작된 우크라이나의 에너지 부문을 겨냥한 공격과 병행되고 있으며, 해킹의 목적도 시스템 중단을 노리는 대규모 공격에서 정밀하게 표적화된 스파이 활동과 데이터 도용으로 바뀌었다고 말했다. 이를테면 10건의 공격 중 2~3건은 기능과 정보를 파괴하는 데 초점을 맞췄고, 나머지는 스피어 피싱을 사용해 정보를 수집하는 데 주력했다.

러시아 정부의 지원을 받는 해킹그룹 가마레돈(Gamaredon)은 특히 우크라이나 기관에 침투해 상당량의 정보를 빼오는 ‘스파이 활동’을 성공적으로 수행했다고 알려졌다. 러시아 정보총국(GRU) 산하의 해킹그룹 74455 부대도 마찬가지로 데이터와 기능을 파괴하는 ‘와이퍼(wiper)’ 공격에 적극 가담하고 있다. 흥미로운 것은 이런 공격이 네트워크나 이메일 서버가 아닌 엔드포인트 수준(EDR)에서 많이 탐지된다는 점이라고 보고서는 덧붙였다. 
 

“러시아의 공격, 주로 인프라에 집중돼 있다”

보고서는 “(러시아의) 사이버 스파이 활동과 공격 작전에서 가장 많이 공격받는 부문은 우크라이나의 민간 인프라다. 여기에는 정부기관과 필수 인프라(예: 에너지 회사, 상업 조직, 물류 회사 등), 다양한 정부부처가 포함돼 있다. 아울러 국가 또는 민간 방위 조직도 표적이 되고 있다. 공격의 주안점은 이중인증(2FA) 없이 이메일 또는 VPN을 통해 사용자를 사칭한 합법적인 접근 권한을 획득하고 데이터를 수집할 수 있도록 자격증명을 수집하는 것이었다”라고 설명했다. 

러시아는 2022년 하반기 내내 우크라이나 보안 서비스(SBU) 직원을 대상으로 ‘시그널(Signal) 메신저 계정을 해킹해 데이터를 유출하고 사용자를 사칭하기 위한’ 공격을 감행했다. 우크라이나에 입국하는 사람들의 신원을 확인하기 위해 우크라이나 국경 수비대에서 사용하는 ‘슬리아흐(Shliakh)’ 시스템도 비슷한 공격을 받았다.

러시아의 공격은 대부분 ‘에너지 부문에 침투하여 정보를 수집하고 데이터를 유출하는’ 공통의 목표가 있었다. 예를 들면 우크라이나 국민과 정부의 통신 능력을 차단하고 ‘민간인 사이에 혼란과 공황 상태’를 조성하는 것이 우크라이나의 무선통신 부문을 타깃으로 한 러시아의 공격 목표다. 통신이나 인터넷 접속이 불가능한 상태에서는 “민간인은 물론 군인과 정보 요원도 조직적으로 행동을 취하거나 도움을 요청할 수 없다”는 이유에서다. 
 

“러시아의 또 다른 공격 대상은 난민”

마이크로소프트는 보고서에서 러시아의 영향력 작전이 우크라이나의 난민을 표적으로 삼고 있다면서, “러시아 정부가 최근 유럽 전역의 우크라이나 난민을 대상으로 (난민들이) 강제 추방돼 우크라이나 군에 징집될 수 있다고 믿게 만드는 조직적인 선전 활동을 벌이고 있다”라고 지적했다.

구글은 “나토(NATO) 가입국을 대상으로 한 공격이 300% 이상 증가했다...(중략)...러시아 정부의 후원을 받는 공격자는 다른 어떤 국가보다도 우크라이나의 사용자를 더 많이 표적으로 삼아 우크라이나의 정부 및 군사 기관을 집중 공격했다. 아울러 필수 인프라, 유틸리티, 공공 서비스, 미디어 및 정보 분야도 공격하고 있는 것으로 드러났다”라고 밝혔다.
 

CISO에게 주는 교훈

SSSCIP는 그간의 경험을 바탕으로 사이버 전쟁에서 승리하고 살아남는 데 도움이 될 권장사항을 제시했다. 다음과 같다. 

1. 자격증명 도용 최소화: 사용자의 ID를 보호해야 한다. 다중인중은 ‘어디서나’ 사용돼야 하고, 기업은 액티브 디렉터리(AD)를 강화하거나 도메인 컨트롤러를 애저(Azure) AD로 마이그레이션해야 한다.

2. 최소 권한 접근 설정: 가장 민감하고 권한이 높은 계정과 시스템의 접근 권한을 안전하게 보호해야 한다.

3. 레거시 시스템이 진입 지점으로 사용되지 않도록 분리: 원격 접근에서는 다중인증이 필수다. 아울러 이그레스 기반 킬체인(egress-based kill chain)을 완화하기 위해 가능한 한 모든 곳에서 외부 접근을 제거하거나 제한해야 한다. 인터넷에 직접 연결된 시스템과 원격 접근 솔루션도 안전하게 보호해야 한다.

4. 숙련되고 유능한 인재와 심층 방어 보안 솔루션의 결합: 이를 통해 기업의 비즈니스에 영향을 미치는 침입을 식별, 탐지, 방지할 수 있다. 네이티브 클라우드 워크로드 보호 기능을 활성화하면 알려진 네트워크 위협과 새로운 네트워크 위협을 대규모로 식별 및 완화할 수 있다.”

사이버 전쟁은 더 이상 가상의 전쟁이 아니다. 우크라이나 그리고 러시아와 러시아의 후원을 받는 조직 간의 공방전이 실제로 벌어지고 있다. 우크라이나 SSSCIP에서 공유한 교훈은 CISO가 자체 보안 프로토콜 및 전략을 검토할 기회를 제공한다. SSSCIP 보고서와 더불어 구글과 마이크로소프트의 보고서를 통해 우크라이나가 ‘얻은 교훈’을 배워 가길 바란다.
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.