러시아에 의한 우크라이나에 대한 침공이 본격적으로 시작된 2022년 2월 24일 전후부터 우크라이나에 대한 사이버 공격이 복수 보고되고 있어 사이버 공격을 실시하는 공격자와 러시아 관계가 지적되고 있다. 이런 가운데 마이크로소프트가 우크라이나에 대한 사이버 공격에 관한 보고서를 공개했다.
마이크로소프트에 따르면 러시아-우크라이나 침공이 시작되기 직전부터 최소 6명 러시아 정부 관계자가 우크라이나에 대해 237건 이상 사이버 공격을 반복해왔다고 한다. 이 사이버 공격에는 진행 중인 파괴 공작과 민간 복지 시설을 위협하는 공격도 포함된다.
마이크로소프트가 꼽은 237건 사이버 공격에는 광범위한 스파이 활동과 첩보 활동도 포함되어 있으며 마이크로소프트는 이런 공격은 우크라이나 상황을 악화시켰을 뿐 아니라 민간인이 의존한다며 믿을 만한 출처와 중요한 생활 서비스에 대한 접근을 방해하기도 했으며 그 밖에 우크라이나 뿐 아니라 나토 회원국에 대한 한정적 스파이 활동과 가짜 정보 활동도 검출되고 있다고 한다.
마이크로소프트에 따르면 우크라이나 침공 이후 러시아에 의한 사이버 공격은 민간인에게 중요한 서비스나 기관을 중점적으로 노린 군사 작전과 강하게 관계하고 있으며 군사 작전과 완전히 타이밍을 맞춰 이뤄진 것도 있었다고 한다. 일례로 2022년 3월 1일 러시아 공격자가 대형 방송사에 대한 사이버 공격이다. 이 사이버 공격이 실행된 것과 같은 날 러시아군은 우크라이나 가짜 정보를 발신하는 시설을 파괴한다고 발표하고 키이우에 있는 TV 방송탑에 대해 미사일 공격을 가했다. 또 러시아군이 체르노빌 원자력발전소를 제압한지 몇 주 뒤인 3월 13일 다른 공격자가 우크라이나 원자력안전조직 서버에서 데이터를 훔쳤다.
마이크로소프트가 탐지한 사이버 공격 중 물리적 파괴 공격과 관련된 건 40건 가까이 있으며 이런 공격은 수백 개 시스템을 대상으로 실행되고 있다. 이런 물리적 파괴 공격과 관련된 사이버 공격 중 32%는 국가와 지역, 도시 수준에서 우크라이나 정부 관련 조직을 직접 표적으로 하고 있으며 40% 이상은 우크라이나 정부와 군대, 경제, 민간인에게 악영향을 줄 가능성이 있는 중요한 인프라와 관련한 조직을 노린 것이었다고 한다.
이런 공격에 관여하는 공격자는 피싱이나 패치가 적용되지 않는 취약성 등을 이용해 IT 서비스 제공자를 침해하는 등 방법으로 타깃 조직 IT 설비에 침입을 시도한다. 또 이런 공격자는 공격을 탐지하는 걸 피하기 위해 사용하는 악성코드를 바꿀 수 있다.
더구나 마이크로소프트는 러시아 공격자가 2021년 3월경부터 우크라이나에 대한 사이버 공격을 준비하고 있으며 우크라이나 시스템에 대한 발판을 얻기 위해 우크라이나 국내 조직이나 우크라이나 동맹국에 속하는 조직에 대한 사이버 공격을 자주 실행하고 있다고 밝혔다. 또 러시아가 우크라이나 침공을 시작한 시점 러시아 공격자는 우크라이나 군가적 파트너에 대해서도 사이버 공격을 실행해온 행적을 발견했다고 한다.
그 밖에 2021년 중반까지 러시아 공격자가 우크라이나 뿐 아니라 나토 회원국에 대한 액세스를 확보하기 위해 우크라이나와 해외 공급망 벤더를 표적으로 사이버 공격을 반복했다는 걸 확인했다. 2022년 초 러시아가 우크라이나 국경을 따라 군비를 전개할 당시 공격자는 우크라이나 조직에 대해 와이퍼형 멀웨어에 의한 사이버 공격을 실시했다. 와이퍼형 악성코드에 의한 사이버 공격은 러시아군에 의한 공격과 밀접하게 관여하고 있으며 러시아에 의한 우크라이나 침공 이후 여러 차례 검출되고 있지만 마이크로소프트는 자사가 검출한 사이버 공격은 우크라이나를 표적으로 실행됐으며 사이버 공격 일부에 불과할 수 있다고 밝혔다.
마이크로소프트에 따르면 회사 보안팀은 우크라이나 정부 관계자나 정부 기관, 민간 기업 사이버 보안 직원과 긴밀하게 연계해 우크라이나에 대해 이뤄진 사이버 공격 특정과 대처에 노력해왔다고 한다. 2022년 1월에는 마이크로소프트 내에서 사이버 공격에 대한 조사를 담당하는 센터(Microsoft Threat Intelligence Center)가 우크라이나 네트워크에서 와이퍼 네트워크를 감지하고 우크라이나 정부에 경고, 조사 결과 요약 보고서를 제출했다. 이후 마이크로소프트는 우크라이나 주요 인터넷 관련 기업과 협력해 이곳에서 사용할 수 있는 안전한 통신 회선 확립에 노력했다. 이를 통해 우크라이나 정부, 기업, 조직이 사이버 공격으로부터 자신을 보호하면서 인터넷을 이용할 수 있는 환경을 구축하는데 성공하고 있다.
마이크로소프트는 지금까지 러시아 공격자 동향을 감안할 때 러시아와 우크라이나 전쟁이 격화되면서 우크라이나에 대한 사이버 공격은 더 격화될 것으로 보인다고 밝혔다. 러시아 정부 관련 공격자는 우크라이나에 대한 군사 지원을 강화하는 국가와 러시아 정부에 대해 더 징벌적 조치를 취하기로 한 국가에 대한 보복을 담당하고 있을 가능성이 있다고 덧붙였다. 우크라이나를 지원하는 국가에 대한 사이버 공격이 과격해질 가능성을 시사하는 것.
참고로 러시아에 의한 우크라이나 사이버 공격에 대처해온 건 마이크로소프트만 있는 건 아니다. 미국 정부 주도 극비팀이 러시아에 의한 우크라이나 침공 얼마 전부터 우크라이나 사이버 보안을 보호하기 위한 작전을 수행하고 있어 이를 위해 100만 명 이상 우크라이나 시민을 도울 수 있었다고 보도되고 있다. 관련 내용은 이곳에서 확인할 수 있다.