전체메뉴

[애플경제 전윤미 기자] 러시아의 침공으로 인한 러-우크라이나 전쟁이 1년6개월째 지속되고 있다. 특히 이는 물리적 전투와 사이버 전투가 맞물리는 ‘하이브리드’ 전쟁의 양상을 띠고 있는 점이 특징이다. 세계 전쟁사상 가장 치열한 사이버 전이 펼쳐지며, 양측의 해커(핵티비스트)들과 멀웨어, 랜섬웨어, 다크사이트 등도 사이버 전쟁의 최전선에 나서고 있다.

양측은 이미 군사력 동원 이전부터 사이버 공방전의 포문을 열었다. 초기엔 ‘공방전’이 아닌, 주로 러시아 일방의 공격이었다. 탱크가 국경을 넘기 전에 이미 우크라이나의 기간산업이나 정부 등 공적 영역의 네트워크에 디도스 공격이 퍼부어졌다.

개전 직전부터 러시아 해커들 공격 나서

특히 개전 전인 2022년 1월에 이미 러시아 해커들은 미국 덴버 국제공항을 공격, 33시간 이나 혼선을 빚게 했고, 글로벌 위성항법시스템(GNSS)의 신호를 교란시켰다. 또 그리고 개전 전날에는 우크라이나의 군사, 금융, 항공, IT 서비스 등 주요 기반시설에 대해 ‘헤르메틱 와이퍼’(HermeticWiper, 데이터 삭제 맬웨어 위협)로 시스템을 삭제하는 사이버 공격을 감행하기도 했다.

이처럼 전시 하의 사이버전에서는 군의 지휘 계통은 물론, 상대국의 주요 기반시설 운영을 마비시키기 위해 총력을 기울인다. 특히, 이번 전쟁은 당사국의 사이버군(軍) 외에도 양측을 각기 지지하는 민간 해커집단들이 참여하고 있는 것이 특징이다.

사이버 공격 집단으로선 유사 이래 보기 드문 ‘호항’을 맞은 셈이다. 그 때문에 금년 들어 새삼 랜섬웨어 그룹들이 기승을 떨고 있어, 국제적으로 사이버 보안 비상이 걸린 상황이다.

이대성 부산가톨릭대학교 교수는 최근 한 보고서에서 “우크라이나의 전쟁은 사이버전이 수반된 하이브리드 전쟁의 양상이 뚜렷하다”면서 “개전 초기부 러시아의 사이버 공격에 맞서, 민간 전문가들이 포함된 우크라이나 IT전사들이 러시아 수십 개 조직에 사이버 공격을 가했다.”고 당시를 돌이켰다.

그가 인용한 ‘국제사이버평화기구’(Cyber Peace Institute) 등에 따르면 개전 1개월 동안 독일과 동유럽을 연결하는 ‘ViaSat’사의 위성통신 모뎀 1만 여대에 장애가 발생했다.

이는 러시아측이 VPN 설정을 악용, 네트워크 관리 인터페이스에 침입한 뒤 설정을 지우는 악성코드(AcidRain)를 위성 모뎀에 이식한 때문이다. 전시에 가장 중요한 우크라이나 국내 통신을 마비시키기 위한 시도로 추정된다.

러시아측은 또 독일 국내에 있는 ‘Enercon’사의 풍력 터빈 약 5,800대(최대 11GW 발전 능력)의 원격 제어기능을 마비시켰다. 이에 독일은 위성모뎀을 1대씩 초기화, 재설정하여 복구하는 등 어려움을 겪었다.

‘대목’ 만난 해커들, 사이버전 최전선에

이 와중에 제일 바쁜 부류는 해커, 특히 러시아 해커들이다. 이들은 우크라 침공 전부터 이미 인근 라트비아와 리투아니아에서 수백 대의 컴퓨터를 악성코드로 감염시켰다. 우크라와 서방에 우호적인 이들 나라의 기간 네트워크부터 먼저 제압하고 보자는 것이다. 웹사이트들을 정크 트래픽으로 공격하여 접속 불가로 만드는 디도스 공격이나, 악성코드를 조합하는 방식을 이들은 구사했다. 그 결과 피해도 컸고, 사이버 운영 플레이북에도 치명적인 영향을 주었다.

러시아의 ‘관영 해커’들도 사이버전의 선봉에 나섰다. 이들은 러시아 침공이 있기 전에 미리 미국 내에서도 데이터 전송 악성코드를 이곳저곳에 흩뿌렸다. 물론 그 영향이 어느 정도인지는 파악되지 않았지만, 분명 우크라이나 측에 상당한 피해를 입힌 것으로 추측된다.

우크라이나를 응원하는 친서방 해커들도 적극 가담했다. 특히 국제 해킹 집단인 어나니머스는 개전 수 일 전부터 러시아 전역을 대상으로 역공을 폈다. 크렘린과 국영 언론사, 기간 산업체와 금융기관 등을 가리지 않고 맹폭을 가했다.

2월 28일 어나니머스는 우크라이나 침공에 반대하면서 벨라루시 철도회사의 내부망에 침입, 러시아군의 철도 이동을 저지했다고 발표했다. 이에 벨라루스 철도 회사는 수동 모드로 운행을 전환할 수 밖에 없어, 기차운행이 지연되었다. 이 밖에도 친러시아, 친우크라이나 양측의 핵티비스트들이 DoS 공격으로 웹 사이트를 다운시키는 등 수없이 공격을 주고 받았다.

이 교수와 국제사이버평화기구에 따르면 개전 직전인 2022년 1월부터 2023년 3월 사이에 러시아와 우크라이나 간의 사이버전에는 91개 해커 조직이 관여되었고, 1,537건의 사이버 사고가 있었던 것으로 분석된다. 그야말로 ‘사이버 세계 대전’의 양상을 띠게 된 것이다.

러시아 360건, 우크라측 240건 공격 주고받아

그 중 러시아측은 360건의 사이버 공격을 퍼부었다. 대표적인 핵티비스트들은 ‘피플스 사이버아미’가 가장 많았고, 그 다음으로 △NoName057 △어나니머스 러시아 △샌드웜 및 DEV-0586 등이 대표적이다. 이들은 우크라이나의 행정, 금융, 미디어, ICT, 교통, 에너지 등 분야를 가리지 않고 맹폭을 가했다.

러시아측의 피해도 만만찮다. 우크라이나가 직접 가한 공격도 241건에 달하는데, 그중 우크라이나 육군이 가장 많다. 그 뒤를 이어 어나니머스, 어나니머스 이탈리아가 많은 공격을 가했다.

이 밖의 국가에 속한 사이버 공격자들도 무려 936건에 달하는 공격을 양측에 퍼부었다. 대표적으로 ‘NoName057’, ‘어나니머스 러시아 및 킬넷’ 등이 가장 많은 공격에 앞장섰다. 이들은 러시아, 우크라이나 외에도 폴란드, 라트비아, 미국 등에 대해서도 공격을 가했다.

그간 랜섬웨어나 멀웨어, 디도스, 다크웹은 주로 민간 영역의 사익을 탈취하기 위한 경우가 대부분이었다. 그러던 것이 이처럼 국가 간 무력충돌과 총력전의 전위(前衛) 내지 공적 자위의 주체로 대접받기에 이른 것이다. 즉, 러-우크라 전의 사실상 주역으로 떠오른 셈이다.