테크레시피

러시아-우크라이나, 사이버 전쟁도 한창

미하일로 페도로프 우크라이나 부총리가 IT군 결성을 공언한 전후 러시아 정부기관이나 기업 웹사이트가 다운되고 일부는 상당 기간 액세스할 수 없는 상황으로 전해지고 있다.

페도로프 부총리는 2022년 2월 27일 트위터에서 IT군을 결성하고 있다고 공언했다. 메시징 서비스인 텔레그램에 전용 채널을 개설해 태스크라고 칭한 공격처 목록을 작성해 일반인 참가를 모집하고 있었다.

태스크 목록에는 러시아 최대 상업 은행인 러시아저축은행과 러시아 검색엔진인 얀덱스 등 민간 기업 외에도 러시아 국방부나 공공 서비스 등 정부기관 웹사이트도 있다. 이 가운데 일부는 사이버 공격 결과 다운됐고 국내외 액세스를 일시적으로 할 수 없게 됐거나 액세스할 수 없는 상황이 계속되고 있다.

이에 따라 러시아는 전자정부 포털 사이트에 대한 국외 액세스를 완전히 차단해 대응하고 있다고 한다. 한 네트워크 기업 관계자는 2월 28일 아침 러시아 최대 인터넷 제공 업체인 로스텔레콤이 BGP에 의한 액세스를 중지했다며 러시아 외 IP 주소로 러시아 정부 웹사이트에 액세스할 수 없는 상황이라고 전하기도 했다.

또 이들 사이트는 대부분 국내에서만 사용되기 때문에 외부인이 접근할 수 없다는 건 별다른 건 없지만 이는 러시아가 정부 웹사이트에 대한 공격에 대해 방어책을 강구하고 있다는 걸 의미한다고 설명했다.

러시아 웹사이트를 공격하는 우크라이나 행동에 많은 관심이 쏠려 있지만 우크라이나도 공격을 받고 있는 입장이다. 2월 25일 보안 기업 ESET가 우크라이나에 있는 머신 수백 대가 지금까지 본 적 없는 와이퍼형 멀웨어에 감염되고 있다고 보고했다. 마찬가지로 보안기업인 노턴라이프록도 우크라이나 방위 항공 IT 서비스 등을 표적으로 한 악성코드를 발견했다고 보고했다. 관련 내용은 이곳에서 확인할 수 있다.

한편 러시아의 우크라이나 침공에 따라 많은 국가와 지역, 기업이 우크라이나 지지를 표명하고 있다. 페이스북을 운영하는 메타도 러시아에 대한 제재를 실시하고 있었지만 새롭게 반우크라이나 시위 발신 계정 삭제를 발표했다.

메타는 러시아의 우크라이나 침공을 받아 러시아 국영 미디어에 의한 자사 플랫폼 내 광고 게시와 광고 수익 창출을 차단한다고 발표한 바 있다. 메타는 러시아의 우크라이나 침공에 대응하기 위한 노력을 강화하고 있다는 설명이다. 보안팀 노력 일환으로 메타는 지난 48시간 동안 페이스북과 인스타그램에서 40개 계정 페이지 그룹으로 이뤄진 비교적 작은 네트워크를 발견했다고 밝혔다.

이 네트워크는 러시아와 우크라이나에서 운영되고 있으며 여러 소셜미디어 플랫폼과 자체 웹사이트를 통해 우크라이나인을 타깃으로 하는 것으로 나타났다. 메타는 이 네트워크와 관련된 게정 페이지 그룹을 중지하고 관련 도메인이 메타 플랫폼에서 공유되는 걸 차단한다. 더구나 이들 네트워크에 관련된 정보를 다른 플랫폼, 연구자, 정부기관과 공유한 것도 밝혔다.

메타가 발견한 네트워크는 가짜 계정을 사용해 페이스북, 인스타그램, 트위터, 유튜브, 텔레그램 같은 플랫폼에서 가상 인물이 되고 가짜 미디어를 운영하고 있다. 네트워크 일부인 가짜 게정은 적대적 생성 네트워크 GANs 등 인공지능 관련 기술을 구사해 생성된 프로필 이미지를 이용하고 있을 가능성이 높다는 것. 네트워크는 우크라이나 키예프를 거점으로 한 뉴스 편집자, 항공 기술자, 과학 출판물 저자 등으로 가상 보도기관을 자칭한 반우크라이나 가짜 뉴스를 보도하고 있다고 한다.

이번에 메타가 발견한 네트워크는 2020년 4월 메타가 삭제한 다른 웹사이트와 관계가 있는 것으로 지적되고 있다. 이 웹사이트는 미국 정부 당국에 의해 가짜 뉴스 전달 미디어인 게 특정된 사이트로 현재 우크라이나 국경 경비대가 손을 들어 러시아군을 환영했다거나 우크라이나군이 민간인을 방패로 삼고 있다, 우크라이나군이 러시아군에 대해 유엔에서 금지되는 탄을 사용하고 있다는 가짜 뉴스를 흘리고 있다고 한다.

그 밖에 메타는 우크라이나 군 관계자나 공인을 표적으로 해 고스트라이터(Ghostwriter)라는 사이버 공격을 실시하고 있다고 주장하고 있다. 공격자는 고스트라이터에 의해 계정을 해킹해 반우크라이나 가짜 뉴스를 유튜브상에 영상으로 투고하고 있다. 메타는 타깃 사용자에게 경고하고 고스트라이터 피싱 공격에 사용된 도메인을 차단하고 게정을 보호하기 위해 다른 조치를 취한다.

트위터도 러시아의 우크라이나 침공에 관련된 가짜 정보 네트워크를 삭제하기 우해 노력하고 있다며 우크라이나 투데이라는 가짜 미디어에 대한 링크를 공유하는 12개 이상 계정을 삭제했다고 한다. 트위터 측은 2월 27일 플랫폼 운영과 스팸 정책을 위반한 12개 이상 계정을 영구적으로 중단하고 여러 링크 공유를 차단했다며 설문 조사가 진행 중이지만 계정과 링크는 러시아에서 생성됐으며 우크라이나에서 진행 중인 분쟁에 대한 공개 대화를 방해하려 했다는 걸 나타낸다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

또 다른 보도에선 페이스북이나 트위터 등으로 우크라이나가 불리하다는 가짜 뉴스를 반복해서 올리는 계정이 실재하지 않는 가상 인물의 것이며 프로필 이미지에 설정되어 있는 건 인공지능으로 만든 허구의 인물 사진이라는 게 밝혀졌다고 한다.

메타가 삭제한 계정 네트워크에는 뉴스 편집자나 항공 기술자 등을 가장한 인물 계정이나 보도기관을 가장한 계정으로 반우크라이나 가짜 뉴스를 보도해왔다. 가상 인물이 된 프로필 이미지에는 적대적 생성 네트워크 GANs 등 인공지능 관련 기술을 구사해 생성한 프로필 이미지가 이용되고 있다는 지적이 나온 것.

가상 인물 설정 중 하나는 우크라이나 키예프 출신 블로거이며 이름은 블라디미르 본다렌코. 우크라이나 정부를 싫어한다는 식 프로필을 담고 있다. 이 가상 인물 프로필은 우크라이나 투데이라는 가짜 미디어상에 게재되고 있었다고 한다. 프로필은 원래 항공 기술자였지만 우크라이나 항공 인프라가 붕괴되면서 블로그 집필을 강요당하게 됐다는 설명이다.

가상 프로필 이미지가 AI로 만들어졌다는 근거는 여럿이지만 이 중 하나는 특징적인 귀. 이 귀는 가상 인물 이미지 생성 서비스(This Person Does Not Exist)를 이용할 때 나오는 특징 중 하나라고 한다.

더구나 이 가상 인물 동료라는 이리나 케리모바라는 인물도 AI로 만든 가상 인물이라는 게 밝혀졌다. 이 여성 프로필은 2017년 러시아 프로파간다 웹사이트 편집장이 된 인물로 이전에는 기타 강사를 했다는 것. 여성 프로필 이미지는 위화감이 없어 보이지만 좌우 귀걸이가 다르기 때문에 수상하다는 설명이다.

한편 마이크로소프트는 2022년 2월 24일 러시아가 우크라이나 침공 시작 몇 시간 전에 우크라이나 네트워크가 사이버 공격 대상이 됐다고 발표했다. 마이크로소프트 MSTIC(Microsoft Threat Intelligence Center) 연구팀은 이 우크라이나를 표적으로 한 파괴적인 사이버 공격에서 폭스블레이드(FoxBlade)라는 새로운 악성코드를 발견했다고 보고했다.

마이크로소프트는 우크라이나에서 2월 24일 미사일이 발사되고 탱크가 움직이기 몇 시간 전에 MSTIC은 우크라이나 디지털 인프라를 표적으로 한 파괴적인 사이버 공격을 감지했다고 보고했다. MSTIC은 우크라이나 정부에 곧 폭스블레이드 사용이 확인됐다고 보고하고 기술적 조언을 제공했다는 것. 또 발견 후 3시간 이내에 유사한 공격을 감지 서명이 만들어지고 마이크로소프트 디펜더에 추가됐다고 한다.

우크라이나는 지금까지 여러 차례 사이버 공격 표적이 됐다. 2017년에는 낫펫야(NotPetya) 혹은 골든아이(GoldenEye)라고 불리는 랜섬웨어 일종이 늘어나 우크라이나 중앙은행 시스템이나 국영통신사, ATM, 체르노빌 원자력발전소 시스템 등에 감염되어 기능 부전에 몰린 게 보도됐다.

2021년 1월에는 우크라이나 정부 여러 기관에서 위스퍼게이트(WhisperGate)라는 와이퍼를, 2월초에는 헤르메틱와이퍼(HermeticWiper)라는 와이퍼가 우크라이나 정부 기관과 기업을 표적으로 사용했다. 둘다 윈도PC 마스터 부트 레코드를 파괴해 부팅할 수 없게 만드는 악성코드라는 게 밝혀졌다. 일련의 공격으로 2월 24일 러시아에 의한 침공 직전에 우크라이나 치안국은 우크라이나는 하이브리드 전쟁 표적이 되고 있다고 보고했다.

이번에 발견된 폭스블레이드는 어떤 동작을 하는 악성코드인지는 밝혀지지 않았지만 마이크로소프트는 우크라이나 경제권과 궁격을 넘어 퍼지는 무차별 악성코드 기술 사용은 보이지 않았다고 보고하고 있어 마이크로소프트가 빠르게 대응한 적도 있고 우크라이나에서 확인된 뒤 전 세계에서 맹위를 흔든 낫펫야만큼 피해 규모는 아니라고 한다.

마이크로소프트는 지금까지 우크라이나 정부에 사이버 공격에 대해 조언을 하고 나토나 미국 당국자와도 적절하게 정보 공유를 계속해온 게 이번 공격 탐지와 방어로 이어졌다고 한다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독

Most popular