14 November 2024
지난주 치러졌던 미국 대선에서 도널드 트럼프 전 대통령은 재집권에 성공했습니다. 그는 평소 우크라이나-러시아 전쟁에 대한 미국의 개입 정책을 실정이라고 비판하면서 자신이 대통령이라면 "24시간 내 전쟁을 끝낼 수 있다"고 장담했었는데요.
그 정도로 우-러 전쟁은 긴 시간, 그리고 여러 국가에 걸쳐 큰 문제가 되고 있었습니다. 실제로 최근 북한군이 러시아를 지원하면서 대한민국 역시 이에 대응해 우크라이나를 지원, 러시아측은 노골적으로 불쾌한 심기를 표시하면서 우리나라의 사이버 안보 전선에 적색 경보가 켜졌습니다.
장기화되는 우-러 전쟁 그리고 한국에 대한 러시아 해커의 공격
여러 러시아 해커집단이 한국 곳곳을 노리기 시작한 것입니다. <지-펜테스트(Z-Pentest)>라는 해커집단은 김용현 국방부 장관과 로이드 오스틴 미국 국방부 장관이 북한과 러시아의 군사협력 심화를 규탄하는 공동 성명을 채택한 것을 빌미로 한국을 겨냥해 분산 서비스 거부(DDoS·디도스) 공격을 시작했습니다.
실제 국방부와 합동참모본부 홈페이지는 5일 디도스 공격을 받으면서 접속이 진행되지 않았습니다. 물론 이 공격은 지-펜테스트가 아닌 다른 집단의 소행으로 예상되지만 이 공격 자체가 다음날 오전까지 이어지면서 큰 불편을 야기했습니다.
이 집단은 국내 곡물창고에 이어 스마트팜 제어 시스템까지 침투하는 데 성공했다고 주장하기도 했습니다. 이들은 클릭 한 번으로 운영관리 제어 시스템을 조작하는 모습도 증거 영상으로 공개했는데요. 지-펜테스트는 6일 오전 X(舊 Twitter)를 통해 "대한민국, 산성 환경에서의 재배 및 관개 시스템, 우리 전문가는 방금 모든 것을 껐다, 이제 그들은 말라갈 것"이라는 내용의 글을 게시하고 해킹 실증 영상을 공개했습니다. 또한 게시글 말미에는 '러시아를 위해(for Russia)'라는 문구와 함께 텔레그램 채널명을 명시했습니다.
국내 스마트팜 제어 시스템에 대한 해킹과 침투 주장
이들이 공개한 실증 영상은 스마트팜 시스템을 침투한 것으로 추정되는 내용으로, '자동공급구역설정'이라는 메뉴에 들어가 '자동구역밸브' 총 12개 설정을 해제했고, 관리 구역에서 설정을 해제하는 모습과 전기전도도(EC), 산성도(PH) 등 설정값을 직접 입력하는 모습도 보여줬습니다.
구체적으로 어떤 지역, 혹은 어느 주체의 스마트팜을 공격한 것인지는 공개하지 않았지만 '옹달샘 양액재배 시스템'을 이용하는 곳이라는 것을 알 수 있었는데요. 스마트팜 양액재배는 온도, 습도, 조도 등 다양한 환경 변수를 실시간 모니터링해 최적의 생육 환경을 유지할 수 있는 방식입니다.
이 영상은 곡물창고 해킹 사고가 사실이 아니라는 보도가 나온 지 약 하루 만에 올라온 것입니다. 당시 이들은 텔레그램 등을 통해 나주시 소재 곡물 창고를 해킹해 시스템 오류를 발생시켰다고 주장했습니다.
당시에도 이들은 관리 시스템을 원격 조작하는 내용의 영상을 증거로 공개했는데, 사이버범죄수사대 조사 결과 곡물 처리장 시스템에 로그와 같은 외부 침입 흔적은 발견되지 않은 것으로 나타났습니다. 이들은 이 곡물창고가 우크라이나산 곡물을 헐값에 공급하는 창고라고 주장했습니다.
KISA, 기관과 기업에 대해 비상상황 대비 권고 및 보안 대비 요청
한국인터넷진흥원(KISA) 측은 구체적 신고 및 침해 여부는 확인할 수 없다는 입장이지만 각 기관과 기업이 비상 상황이 발생할 것에 대비해야 한다는 권고를 내리고 ◇ 중요 파일 및 문서 등을 네트워크와 분리된 정기적인 오프라인 백업 ◇ 메일에 첨부된 악성 첨부파일이나 링크를 클릭하지 않도록 직원에게 전파 ◇ 운영체제, 애플리케이션, 펌웨어 등을 포함한 소프트웨어(SW)에 최신 보안 업데이트 적용 등을 요청했습니다.
공격은 이뿐만 아니었습니다. 친러 성향 해킹 그룹 앨리게이터 블랙 햇(Alligator Black Hat)은 텔레그램을 통해 한국 내 T사의 악취 포집 모니터링 시스템과 A사의 전력시스템을 해킹했다며 영상을 공개했습니다. 해당 영상엔 각종 설정을 자유자재로 조작하는 모습이 담겨 있었는데요.
앨리게이터 블랙 햇은 동남아시아 국가의 무슬림 해커들이 모인 그룹으로, 친러·친팔레스타인 성향으로 알려져 있습니다. 해당 게시물에는 한국을 조롱하는 내용과 함께 해시태그로 '러시아사이버군팀'(RussiaCyberArmyTeam), '노네임057'(NoName057)을 달았다. 러시아 반대 진영을 대상으로, 북한의 참전과 함께 본격적으로 대한민국까지 참전할 분위기가 올라오자 사이버 공격을 일삼고 있는 것으로 보입니다.
친 러시아 성향 해커 그룹의 집중적인 국내 공격 사례
해시태그 중 하나인 노네임이 정부 부처와 공공기관에 분산서비스거부(DDoS·디도스) 공격을 벌였다고 주장한 친러 성향의 해킹그룹입니다. 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘, 한국전력 등 홈페이지가 공격당해 일시 마비되기도 했습니다.
업계에서는 "노네임·지펜테스트 등이 이스라엘-하마스 전쟁과 우크라이나-러시아 전쟁에서 러시아·팔레스타인 편에 서서 반대 진영을 공격하고 있다"면서 "이러한 친러 성향 해킹그룹들이 최근 일주일 사이 한국을 지속 공격하고 있다"라는 말이 나오고 있는데요. 특히 DDoS 공격뿐 아니라 산업 제어 시스템의 인터페이스를 해킹하는 사례가 증가하고 있기에 특별히 주의할 것을 당부하기도 했습니다.
해당 해킹은 비닐하우스 문을 열고 닫는 개폐기 시스템으로 모두 똑같은 대만산 원격제어 패드 모델인데요. 5900번 포트를 스캔해 비밀번호가 단순하거나 걸려있지 않은 원격제어 시스템에 접속한 것으로 추정됩니다. 제어 기능이 포함된 시스템의 경우 파급 효과가 매우 클 수 있어 인터넷 연결을 차단하거나 접근 IP를 제한하는 등의 기본적인 보호 조치가 매우 중요한 상황인데, 스마트팜 자체가 외부에서 접속, 관리를 하기 위해 만들어진 물건이다보니 원격으로 외부 접속을 하는 것이 기본 요건입니다.
보안에 취약할 수밖에 없죠. 문제는 따로 보안 설정을 할 수 있는 장치 자체가 없기 때문에 비밀번호를 바꾸는 수밖에 대응 방법이 없다는 것입니다. 대부분의 해킹그룹이 한 차례 해킹에 성공하면 지속적으로 해킹이 가능한 백도어를 설치하거나 원천적으로 비밀번호가 필요 없는 취약점 공격을 통해 권한 탈취를 하기 때문에 거의 의미 없는 조치라는 문제가 있습니다.
우크라이나 지원 세력, 국가에 대한 러시아 해킹 공격 활동 증가
지금까지 러시아는 이런 해킹집단을 통해 사이버 공격활동을 꾸준히 행해 왔습니다. 마이크로소프트는 최근 올해 3월부터 10월까지 러시아의 사이버 위협 및 공격 활동을 관찰해 분석한 보고서 '러시아 위협 행위자, 전쟁 피로에 편승할 준비(Russian Threat Actors Dig In, Prepare to Seize on War Fatigue)'를 발표했는데요.
러시아 군과 해킹 집단은 우크라이나의 농업 부문, 우크라이나 군 및 외부 지원 세력 등에 꾸준한 사이버 공격을 가했습니다. 한국에 들어온 DDoS나 곡물 창고에 대한 공격 역시 이런 공격의 일환으로 보입니다. 실제 아쿠아 블리자드라는 러시아 해킹집단은 농작물 수확량을 추적하는 회사의 데이터를 탈취했으며, 러시아 정보기관(GRU)와 연관된 시셸 블리자드는 식품 및 농업 부문 네트워크에 파괴적인 악성소프트웨어 변종을 사용, 이들의 공격으로 100만명 이상이 1년 동안 먹을 수 있는 양의 곡물이 파괴되기도 했습니다.
전쟁 초, 우크라이나를 포함한 유럽에 위성 네트워크를 제공했던 위성통신업체인 ViaSat에 대한 해킹이 시작되었던 것을 시작으로 러시아의 이런 사이버 공격은 꾸준히 진화, 강화되고 있는데요. 2023년에는 역시 러시아 해킹조직인 샌드웜이 라우터를 비롯해 핵심 네트워크에 대한 진입점을 제공하는 장치에 대한 집중공격을 수행하기도 했습니다. 이런 러시아의 사이버공격은 상대 국가에 대한 불안감 조성 및 전쟁에서 조금이라도 더 이득을 보기 위한 공격으로 추정됩니다.
신용석 사이버안보비서관은 국가정보원, 행정안전부, 과학기술정보통신부, 국방부, 금융위원회 등 유관기관 관계자들 참석 하에 긴급 상황점검회의를 개최, 우리나라에 대한 친 러시아 핵티비스트 그룹의 사이버공격은 이전에도 간헐적으로 있었으나, 북한의 러시아 파병 및 우크라이나전 참전 이후 공격이 빈번해지고 있다고 말하며 각 기관에 사이버공격 대비태세 강화와 사이버 공격 발생시 조치사항을 전파하며 신속 대응해 줄 것을 당부했습니다.
아직까지 러시아의 이런 해킹이 큰 문제를 일으키진 못했지만, 과거 러시아가 후원하는 APT 해킹 그룹인 '미드나잇 블리자드'가 마이크로소프트 이메일 시스템 유출 자료를 통해 무단 액세스를 시도한 사례가 있기 때문에 MS Office나 MS Windows를 사용하는 기업에서는 더더욱 각별히 개인 보안에 주의를 기울여 주셔야 할 것으로 보입니다.
