이석원 기자
구글 계열 보안 기업 맨디언트(Mandiant)는 러시아 정부가 운영하고 있다고 알려진 사이버 공격 집단인 샌드스웜(Sandworm)을 고도적으로 지속적인 위협을 의미하는 APT(Advanced Persistent Threat)로 분류하고 APT44라는 이름을 부여했다고 밝혔다.
APT는 Advanced(고도), Persistent(지속적), Threat(위협) 약자. 고도의 공격 기법을 사용해 수개월에서 수년에 걸쳐 표적을 공격하는 그룹을 의미한다. 샌드스웜은 2022년 2월 러시아의 우크라이나 침공을 지원하는 사이버 공격을 펼쳤지만 이전부터 우크라이나 등에 대한 사이버 공격을 해왔던 것으로 알려져 있다.
이런 행태로 인해 이전부터 APT 그룹으로 보도되어 왔지만 이번에 맨디언트가 샌드스웜을 공식적으로 APT44로 지정했다. 맨디언트 보고서에 따르면 APT44는 러시아 정보총국(GRU)으로 알려진 연방 참모본부 소속 정보작전 부대 중 하나로 APT28도 포함되어 있는 것으로 보인다. 부대 문장 등을 통해 APT44 창설은 2009년으로 추정된다.
APT44 활동은 크게 ESPIONAGE(첩보 활동), ATTACK(공격), INFLUENCE(영향력 행사) 3가지로 나뉜다. 주로 러시아의 국가 이익과 야심을 반영하는 활동을 하며 우크라이나 침공에 맞춰 우크라이나에 대한 사이버 공격을 펼치고 있지만 북미, 남미, 유럽, 중동, 중앙아시아 등지에서의 첩보 활동도 지속되고 있다. 맨디언트에 따르면 이제까지의 활동 실적으로 볼 때 APT44는 러시아 정부 수뇌부에게 유용한 도구로 인식되고 있을 가능성이 높다고 한다.
한편 2024년 들어 러시아 사이버 부대가 텍사스주 일부 마을 급수 시스템과 폴란드 마을 하수 제어 시스템을 장악했다는 보고가 있으며 프랑스에서는 수력발전소 수위를 제어할 수 있는 상태라는 정보도 있지만 이런 공격이 APT44 소행인지 맨디언트에선 확인되지 않았다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
