러 해커들, 우크라 최대 통신사 잠입, 7개월 이상 장악
한때 우크라 국내 통신망 마비, “사이버전 겸한 현대전” 실감
[애플경제 이윤순 기자] 러-우크라 전쟁이 여전한 가운데 러시아 해커들이 지난 몇 달 동안 우크라이나의 대표적인 통신사 내부에 도사리고 있었던 것으로 드러났다.
4일 로이터 통신에 따르면 적어도 지난해 5월부터 러시아 해커들이 우크라이나 거대 통신업체 키예프스타(Kyivstar) 시스템 내부에 침입, 서방에 대한 ‘대규모 경고’ 역할을 하는 사이버 공격을 감행한 것으로 밝혀졌다. 우리로 말하면 SKT나 KT에 비유할 만한 기업이다. 키예프스타는 우크라이나의 3대 통신 사업자 중 가장 큰 회사다. 다른 통신 사업자가 없는 작은 마을이나 소도시를 포함해 약 110만 명의 우크라이나인이 이용하고 있다.
그런 점에서 러-우크라 전쟁은 현대전은 또한 사이버전쟁도 겸하고 있음을 보여주는 대표적인 사례다.
2400만명 사용자들, 서비스 중단
우크라이나 정보 당국은 이날 “2년 전 러시아의 전면적인 침공 이후 가장 극적인 해킹 중 하나인 이번 해킹은 12월 12일부터 며칠 동안 약 2,400만 명의 사용자에게 우크라이나 최대 통신 사업자가 제공하는 서비스를 중단시키기도 했다.”고 로이터에 밝혔다.
이에 따르면 이들의 해킹은 우크라이나에 “재앙” 수준의 파괴를 초래하는 한편, 심리적 타격을 주고 정보를 수집하는 것을 목표로 하고 있다. 또 “우크라이나뿐만 아니라 서구 세계 전체에 ‘누구도 건드릴 수 없는 목표는 없다’는 사실을 이해하게 하는 메시지이자 경고의 일환”이라고 했다. 표적이 된 키예프스타는 사이버 보안에도 거액의 투자를 한 민간기업이다.
이들의 공격으로 우크라이나 국내의 수천 대의 가상 서버와 PC를 포함해 “거의 모든 것”이 사라진 것으로 전해졌다. “키예프스타의 핵심 인프라가 완전히 파괴된” 사상 최악의 파괴적인 사이버 공격이란 설명이다.
또 볼로디미르 젤렌스키 우크라이나 대통령이 워싱턴에 가있던 시각에 키예프스타에 대한 공격이 퍼부어지기도 했다.
우크라이나 정보 당국은 “조사 과정에서 해커들이 작년 3월 또는 그 이전에 키예프스타에 침투하려고 시도했을 가능성이 있다는 사실을 발견했다”면서 “현재로서는 적어도 2023년 5월부터 시스템을 장악한 것으로 확신할 수 있다”고 말했다.
이에 따르면 러시아 해커들은 개인 정보를 훔치고, 휴대폰 위치를 파악하고, SMS 메시지를 가로채고, 그들이 얻은 접속 기능을 통해 텔레그램 계정을 훔칠 수 있었을 것으로 추정된다.
키예프스타측은 “본사는 상황을 조사하기 위해 정보당국과 긴밀히 협력하고 있으며 향후 위험을 제거하기 위해 필요한 모든 조치를 취할 것”이라며 “개인이나 가입자 데이터 유출 여부는 아직 정확히 밝혀지지 않았다”고 로이터에 밝혔다. 그나마 이 회사는 러시아 해커들의 잠입 사실을 뒤늦게 파악하고, 곧 시스템을 복원하고 새로운 사이버 공격에 대한 대비책을 마련한 것으로 전해졌다.
우크라 시민들 ‘SIM’ 카드 교체 소동
이같은 해킹 사태가 알려지자, 사람들은 서둘러 다른 SIM 카드를 구입하느라 소동을 빚기도 했다. 그런 가운데 인터넷용 키예프스타 SIM 카드를 사용하는 ATM이 작동을 멈췄으며, 그로 인해 미사일과 드론 공격에 사용되는 공습 사이렌도 일부 지역에서 제대로 작동하지 않은 것으로 전해졌다.
키예프스타 측은 “이번 공격이 통신 사업자에 의존하지 않고, ‘다른 알고리즘과 프로토콜’을 사용하는 우크라이나 군대에는 다행히 큰 영향을 미치지 않았다”면서 “드론 탐지, 미사일 탐지 등의 기능에도 큰 영향을 미치지 않았다”고 밝혔다.
그러나 해커들은 애초 키예프스타의 인프라 자체를 삭제할 정도로 그악스런 공격을 퍼부었다. 그 때문에 피해 상황을 조사하는 것도 여의치 않고, 키예프스타 측이 밝히는 피해 규모도 신뢰하기 어렵다는 얘기다.
우크라이나 정보 당국은 “우크라이나와 다른 곳의 사이버 공격과 연계된 러시아 군사 정보 사이버 전쟁 부대인 샌드웜(Sandworm)에 의해 이번 공격이 수행된 것이 확실하다”고 밝혔다.
1년 전에도 러시아 샌드웜은 우크라이나 통신업체에 침투했지만, 키예프스타에 의해 탐지된 바 있다. 정작 러시아 국방부는 이같은 우크라이나 정보 당국의 발표에 대해 노코멘트로 일관하고 있다.
“전쟁 중, 통신사업자가 주요 해킹 표적”
그럼에도 불구하고, 이번 일은 전쟁 중엔 통신 사업자가 해커의 주요 표적이 될 수 있음을 시사한다. 실제로 우크라 정보 당국에 의하면 지난해 우크라이나 정부 기관과 주요 인프라에 대한 4,500건 이상의 주요 사이버 공격이 감행된 것으로 알려졌다. “러시아 샌드웜과 제휴한 것으로 의심되는 ‘Solntsepyok’라는 그룹이 주로 시도한 것들”이란 설명이다.
그런 가운데 이번 사태를 두고 내부 협조자가 있는지, 어떤 유형의 ‘트로이 목마 악성 코드’가 침입에 사용되었는지 등이 관심사가 되고 있다. 만약 내부 협조자가 있다면, 그는 사내에서 그다지 높은 수준의 인증 허가는 갖고 있지 못할 수도 있다는 해석이다. 이는 해커들이 비밀번호 해시를 훔치는 데 사용되는 악성코드를 이용했기 때문이다.