이원영 기자
마이크로소프트 고객 보안 트러스트 담당 부사장인 톰 버트(Tom Burt)가 4월 7일 우크라이나를 표적으로 한 러시아 사이버 공격을 방해했다고 공개했다. 이번에 마이크로소프트가 사이버 공격을 방해한 건 러시아연방군 참모본부 정보총국 GRU와 관련성이 지적되고 있는 러시아 해커 집단 스트론튬(Strontium)이다.
스트론튬은 팬시베어, APT28, Tsar Team 등 명칭으로도 알려진 해커 집단. 전 세계 각국 안티 도핑 기관에 대한 공격, 2020년 미국 대통령 선거에 관한 개인과 조직에 대한 공격, 코로나19 백신이나 치료법을 연구하는 기관에 대한 공격 등을 실시해왔다.
오랫동안 스트론튬 활동을 추적해온 마이크로소프트는 최근 스트론튬이 우크라이나를 표적으로 한 사이버 공격을 실시하고 있다는 사실을 인지하고 이 공격을 방해하기로 했다고 한다. 마이크로소프트는 자사가 4월 6일 스트론튬이 이런 공격을 수행하는데 사용한 7개 인터넷 도메인을 관리할 수 있도록 법원 명령을 받았다고 밝혔다. 이런 도메인을 마이크로소프트가 관리하는 DNS 싱크홀로 리디렉션해 스트론튬이 이런 도메인 사용을 억제하고 피해자에게 알릴 수 있게 됐다고 설명했다.
마이크로소프트에 따르면 스트론튬이 진행한 사이버 공격은 보도기관을 포함한 우크라이나 기관을 표적으로 하고 있었고 외교 정책에 관여하는 미국이나 EU 정부 기관이나 싱크탱크도 표적이었다고 한다. 마이크로소프트는 스트론튬은 표적 시스템에 장기적 액세스를 확립해 물리적 침략에 대한 전술적 지원을 제공하고 기밀 정보 유출을 시도했닥소 생각된다고 지적했다. 이미 우크라이나 정부에도 이번에 검출한 스트론튬 활동과 마이크로소프트 방해 조치에 대해 설명했다고 한다.
마이크로소프트는 이번 방해는 스트론튬이 사용하는 인프라를 압수하기 위한 법적, 기술적 조치를 취한 2016년 시작된 장기 투자 일환이며 이를 위해 빠른 법원 결정을 내릴 수 있는 법적 절차를 수립했다고 밝혔다. 마이크로소프트는 우크라이나 정부나 모든 종류 조직과 긴밀하게 협력해 러시아로부터 사이버 공격을 막는데 도움을 준다고 한다. 또 앞으로 몇 주 안에 우크라이나에서 사이버 전쟁에 대한 더 포괄적인 견해를 제공할 계획이라고 덧붙였다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
