2022년 우크라이나 사이버 공격

위키백과, 우리 모두의 백과사전.

해커에게 공격받은 우크라이나 외무부 웹사이트

2022년 1월 14일 2021-2022 러시아-우크라이나 위기 동안 사이버 공격으로 12개 이상의 우크라이나 정부 웹사이트가 다운되었다.[1] 우크라이나 당국에 따르면 외무부, 내각, 안보국 등 정부 웹사이트 약 70개가 공격을 받았다. 대부분의 사이트는 공격 후 몇 시간 이내에 복구되었다.[2] 2월 15일에는 또 다른 사이버 공격으로 여러 정부 기관 및 은행 서비스가 중단되었다.[3][4]

배경[편집]

공격 당시, 10만 명이 넘는 러시아군이 우크라이나 국경 근처에 주둔하는 등 러시아와 우크라이나의 긴장 고조로, 러시아와 나토 간 회담이 진행 중이었다.[1] 미국 정부는 러시아가 "사보타주 활동과 정보작전"을 포함한 우크라이나 침공을 준비하고 있다고 주장했다. 미국은 우크라이나 동부에서 침공 구실이 될 수 있는 "가짜 깃발 작전"의 증거를 발견했다고 주장하기도 했다[2] 러시아는 임박한 침공 여부를 부인했지만, 특히 나토가 우크라이나를 동맹에 가입시킬 경우 "군사적-기술적 행동"을 하겠다고 위협했다. 러시아는 나토의 확장에 대해 강력히 반대해 왔다.[2]

1월의 사이버 공격[편집]

2022년 1월 14일 해커들의 공격으로 우크라이나어로 된 웹사이트가, 잘못된 폴란드어러시아어 텍스트로 교체되었다. 홈페이지에는 "두려워하고 최악의 상황을 맞이하라"는 말과 함께 개인 정보가 인터넷에 유출되었다는 주장이 적혀 있었다.[5] 외교부, 정부, 국방부 등 약 70개의 정부 기관 웹사이트가 영향을 받았다.[6] 우크라이나 보안국은 데이터가 유출되지 않았다고 밝혔다. 메시지가 나타난 직후 사이트는 오프라인 상태가 되었다. 사이트는 몇 시간 뒤 대부분 복구되었다.[1] NSDC 차관 세르히 데메듀크는 우크라이나측 조사 결과 제3의 회사 관리 권한이 이번 공격에 이용된 것으로 의심된다고 말했다. 익명의 회사 소프트웨어는 2016년부터 정부 사이트를 개발하는 데 사용되었으며 대부분 이번 공격의 영향을 받았다.[6] 그리고 데마듀크는 이 공격의 배후에, 벨라루스 정보국과 연계된 것으로 의심되는 해커 그룹인 UNC1151을 지목했다.[7]

1월 13일 처음 등장한, 별도의 파괴적인 맬웨어 공격이 동시에 발생했다. MSTIC(Microsoft Threat Intelligence Center, 마이크로소프트 위험 정보 센터)에서 처음 탐지한 이 맬웨어는 우크라이나의 "여러 정부, 비영리 및 정보 기술 조직"에 속한 장치에 설치되었다.[8] 이후 국가재난청과 교통안전국도 영향을 받은 것으로 보고되었다.[9] DEV-0586 또는 WhisperGate로 명명된 이 소프트웨어는 랜섬웨어처럼 보이도록 설계되었지만, 복구 기능이 없어 랜섬을 위해 파일을 암호화하는 대신 파일을 단순히 파괴하려는 의도를 나타낸다.[8] MSTIC는 대상 장치의 전원이 꺼졌을 때 맬웨어가 실행되도록 프로그래밍되었다고 보고했다. 맬웨어는 마스터 부트 레코드 (MBR)를 일반 랜섬 노트로 덮어쓴다. 다음으로 맬웨어는 두 번째 .exe 파일을 다운로드한다. 이 파일은 사전에 입력된 목록에 있는, 특정한 확장자를 가진 모든 파일을 덮어쓰고 대상 파일의 모든 데이터를 삭제한다. 랜섬웨어 페이로드는 여러 면에서 일반적인 랜섬웨어 공격과 다르며, 전적으로 파괴적인 의도를 나타낸다.[10] 그러나 이후 평가에서는 피해가 제한적이며, 대상은 공격자가 선택한 것으로 나타났다.[9]

1월 19일, 러시아 APT(지능형 지속 공격) 가마레돈 ( Primitive Bear라고도 함)이 우크라이나의 서방 정부 기관을 손상시키려고 시도했다.[11] 사이버 스파이 활동은 2013년부터 활동해 온[11] 이 그룹의 주요 목표로 보인다. 대부분의 APT와 달리 가마레돈은 전 세계의 모든 사용자를 대상으로 하며 (특정 피해자, 특히 우크라이나 조직[12]도 대상으로 함), 다른 APT에 서비스를 제공하는 것으로 보인다.[13] 예를 들어 InvisiMole 위협 그룹은 가마레돈이 이전에 손상시킨 일부 시스템을 공격했다.[12]

1월 공격에 대한 반응[편집]

러시아[편집]

러시아는 자신들이 사이버 공격과 관련이 있다는 우크라이나의 주장에 대해 부인했다.[14]

우크라이나[편집]

전략통신정보보안센터, 외무부 등 우크라이나 정부 기관은 러시아가 우크라이나를 공격한 것이 이번이 처음이 아니라고 지적하면서 러시아가 배후라고 주장했다.[5][15]

국제기구[편집]

유럽연합 고위대표 주제프 보렐은 공격의 주체에 대해 "어디서 올 수 있는지, 어느 정도 확률인지 오차 범위 내에서 충분히 상상할 수 있다"고 말했다.[16] 나토 사무총장 옌스 스톨텐베르그는 추가 사이버 공격에 대비하여 조직이 우크라이나와 협력하여 사이버 방어 역량을 강화할 것이라고 발표했다. 나토는 이후 우크라이나에 악성 코드 정보 공유 플랫폼에 대한 접근 권한을 부여하는 계약에 서명할 것이라고 발표했다.[2][5]

2월 공격[편집]

2월 15일, 대규모 DDoS 공격으로 국방부, 군대, 우크라이나의 2대 은행인 PrivatBankOschadbank의 웹사이트가 다운되었다.[3][17][4] 사이버 보안 감시를 맡은 NetBlocks는 공격이 하루 종일 지속되어 은행의 모바일 앱ATM에도 영향을 미쳤다고 보고했다.[3]뉴욕 타임즈》는 이를 "미국 역사상 가장 큰 공격"이라고 서술했다. 우크라이나 정부 인사들은 공격이 외국 정부에 의해 수행되었을 가능성이 있으며 러시아가 배후에 있음을 제기했다.[18] 서비스 거부 공격이 더 심각한 공격을 은폐할 수 있다는 우려가 있었지만, 우크라이나 당국은 발견된 적이 없다고 말했다.[9]

영국 정부[19]미국 국가안전보장회의 (NSC)에 따르면 이번 공격은 러시아 정보총국 (GRU)이 수행한 것으로 알려졌다. 미국 사이버 보안 인사인 앤 노이버거는 알려진 GRU 인프라가 우크라이나 기반 IP 주소 및 도메인으로 많은 양의 통신을 전송하는 것으로 알려져 있다고 말했다.[20] 크렘린궁 대변인 드미트리 페스코프는 공격이 러시아에서 시작되었음을 부인했다.[21]

2월 23일, 세 번째 DDoS 공격으로 여러 우크라이나 정부, 군대 및 은행 웹사이트가 다운되었다. 군대 및 은행 웹사이트는 "더 빨리 회복"했다고 설명했지만 SBU 웹사이트는 오랜 기간 동안 오프라인 상태였다.[22] 오후 5시 직전 금융, 국방, 항공, IT 서비스 부문 등 여러 우크라이나 기관에 있는 수백 대의 컴퓨터에서 데이터 삭제 악성코드가 탐지되었다. ESET Research는 키프로스 기반 회사인 Hermetica Digital Ltd의 정품 코드 서명 인증서에서 이름을 따온 악성코드 '헤르메틱 와이퍼' (HermeticWiper)라고 명명했다. 와이퍼는 2021년 12월 28일에 컴파일된 것으로 보고된 반면, 시만텍은 이르면 2021년 11월에 악성 활동을 보고하여 공격이 몇 달 전에 계획되었음을 암시한다. 시만텍은 또한 리투아니아의 장치에 대한 와이퍼 공격을 보고했으며 일부 조직은 와이퍼 공격 몇 달 전에 손상을 입었다고 보고했다. 1월의 WhisperGate 공격과 유사하게 랜섬웨어는 와이퍼와 함께 유인물로 동시에 배포되는 경우가 많으며 와이퍼는 마스터 부트 레코드를 손상시킨다.[23][24]

공격 하루 전 EU는 리투아니아, 크로아티아, 폴란드, 에스토니아, 루마니아, 네덜란드에서 온 사이버 보안 전문가 10여명으로 구성된 사이버 대응팀을 배치했다. 이 팀이 사이버 공격의 영향을 최소화하는 데 도움이 되었는지는 알 수 없다.[25]

이번 공격은 러시아가 우크라이나 동부의 분리주의 지역 인정 및 해당 지역의 러시아 군대 배치 승인과 동시에 발생했다. 미국과 영국은 이번 공격의 주범을 러시아라고 주장했다. 러시아는 혐의를 부인하며 이를 "러시아 혐오"라고 했다.[22]

3월 공격[편집]

2022년 3월 7-9일 우크라이나와 폴란드에서 Quad9에 의해 차단된 DNS 쿼리의 비율.

3월 6일부터 러시아는 우크라이나 민간인에 대한 사이버 공격 빈도를 크게 늘리기 시작했다.[26]


3월 9일에만 Quad9 맬웨어 차단 재귀적 리졸버가 유럽 평균보다 10배 이상 빠른 속도로 우크라이나와 폴란드에서 컴퓨터와 전화기에 대한 460만 건의 공격을 가로채고 조치했다. Packet Clearing House의 사이버 보안 전문가 빌 우드콕은 우크라이나에서 온 차단된 DNS 쿼리가, 우크라이나인에 대한 피싱 및 맬웨어 공격의 증가를 분명히 보여주고 있으며 폴란드에서 온 것도 평소보다 높다고 언급했다. 우크라이나 피란민들은 당시 폴란드에 있었다.[27] 우드콕은 공격의 성격을 설명하며 "우크라이나인은 엄청난 양의 피싱 표적이 되고 있으며 그들의 컴퓨터에 침투하는 많은 악성코드가 악성 명령 및 제어 인프라에 접근하려고 시도하고 있다."라고 말했다.[26]

3월 28일 러시아 인터넷 서비스 제공업체인 RTComm.ru BGP는 트위터의 104.244.42.0/24 IPv4 주소 블록을 2시간 15분 동안 도용했다.[28][29]

같이 보기[편집]

출처[편집]

  1. “Ukraine cyber-attack: Government and embassy websites targeted”. 《BBC News》. 2022년 1월 14일. 2022년 1월 15일에 원본 문서에서 보존된 문서. 2022년 1월 14일에 확인함. 
  2. Polityuk, Pavel; Balmforth, Tom (2022년 1월 14일). 'Be afraid': Ukraine hit by cyberattack as Russia moves more troops”. 《Reuters》 (영어). 2022년 1월 14일에 원본 문서에서 보존된 문서. 2022년 1월 14일에 확인함. 
  3. “Ukraine banking and defense platforms knocked out amid heightened tensions with Russia”. 《NetBlocks》 (미국 영어). 2022년 2월 15일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 
  4. “Ukraine's defence ministry and two banks targeted in cyberattack”. 《euronews》 (영어). 2022년 2월 15일. 2022년 2월 23일에 원본 문서에서 보존된 문서. 
  5. Kramer, Andrew E. (2022년 1월 14일). “Hackers Bring Down Government Sites in Ukraine”. 《The New York Times》 (미국 영어). ISSN 0362-4331. 2022년 1월 15일에 원본 문서에서 보존된 문서. 2022년 1월 14일에 확인함. 
  6. Polityuk, Pavel (2022년 1월 14일). “EXCLUSIVE Hackers likely used software administration rights of third party to hit Ukrainian sites, Kyiv says”. 《Reuters》 (영어). 2022년 2월 21일에 원본 문서에서 보존된 문서. 2022년 1월 16일에 확인함. 
  7. Polityuk, Pavel (2022년 1월 16일). “EXCLUSIVE Ukraine suspects group linked to Belarus intelligence over cyberattack”. 《Reuters》 (영어). 2022년 2월 18일에 원본 문서에서 보존된 문서. 2022년 1월 16일에 확인함. 
  8. “Destructive malware targeting Ukrainian organizations”. 《Microsoft Security Blog》 (미국 영어). 2022년 1월 16일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 1월 17일에 확인함. 
  9. “Cyberattacks knock out sites of Ukrainian army, major banks”. 《AP NEWS》 (영어). 2022년 2월 15일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 2월 17일에 확인함. 
  10. Sanger, David E. (2022년 1월 16일). “Microsoft Warns of Destructive Cyberattack on Ukrainian Computer Networks”. 《The New York Times》 (미국 영어). ISSN 0362-4331. 2022년 2월 23일에 원본 문서에서 보존된 문서. 2022년 1월 20일에 확인함. 
  11. Kyle Alspach (2022년 2월 4일). “Microsoft discloses new details on Russian hacker group Gamaredon”. 《VentureBeat. 2022년 3월 22일에 확인함. 
  12. Charlie Osborne (2022년 3월 21일). “Ukraine warns of InvisiMole attacks tied to state-sponsored Russian hackers”. 2022년 3월 22일에 확인함. 
  13. Warren Mercer; Vitor Ventura (2021년 2월 23일). “Gamaredon - When nation states don't pay all the bills”. 《Cisco》. 2022년 3월 22일에 확인함. 
  14. McMillan, Robert; Volz, Dustin (2022년 1월 20일). “Ukraine Hacks Signal Broad Risks of Cyberwar Even as Limited Scope Confounds Experts”. 《Wall Street Journal》 (미국 영어). ISSN 0099-9660. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 1월 26일에 확인함. 
  15. “News Ukraine government websites hacked in 'global attack'. 《Deutsche Welle》. 2022년 1월 14일에 원본 문서에서 보존된 문서. 2022년 1월 14일에 확인함. 
  16. Brzozowski, Alexandra; Pollet, Mathieu (2022년 1월 14일). “EU pledges cyber support to Ukraine, pins hopes on Normandy format”. 《www.euractiv.com》 (영국 영어). 2022년 2월 1일에 원본 문서에서 보존된 문서. 2022년 1월 31일에 확인함. 
  17. Zilbermints, Regina (2022년 2월 15일). “Ukraine Defense Ministry, banks hit by cyberattack amid tensions with Russia”. 《TheHill》 (영어). 2022년 2월 24일에 원본 문서에서 보존된 문서. 
  18. Hopkins, Valerie (2022년 2월 15일). “A hack of the Defense Ministry, army and state banks was the largest of its kind in Ukraine's history.”. 《The New York Times》 (미국 영어). ISSN 0362-4331. 2022년 2월 17일에 원본 문서에서 보존된 문서. 2022년 2월 17일에 확인함. 
  19. “Government response: UK assess Russian involvement in cyber attacks on Ukraine”. UK government. 2022년 2월 18일. 2022년 2월 25일에 원본 문서에서 보존된 문서. 2022년 2월 25일에 확인함. 
  20. “Biden says he's now convinced Putin has decided to invade Ukraine, but leaves door open for diplomacy”. CNN. 2022년 2월 19일. 2022년 2월 19일에 원본 문서에서 보존된 문서. 
  21. “Нова кібератака на банки була "найбільшою в історії України" й досі триває”. BBC. 2022년 2월 16일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 2월 25일에 확인함. 
  22. “Cyber-attacks bring down many Ukraine websites”. 《BBC News》 (영국 영어). 2022년 2월 23일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 2월 24일에 확인함. 
  23. “HermeticWiper: New data‑wiping malware hits Ukraine”. 《WeLiveSecurity》 (미국 영어). 2022년 2월 24일. 2022년 2월 25일에 원본 문서에서 보존된 문서. 2022년 2월 24일에 확인함. 
  24. “Ukraine: Disk-wiping Attacks Precede Russian Invasion”. 《symantec-enterprise-blogs.security.com》 (영어). 2022년 2월 25일에 원본 문서에서 보존된 문서. 2022년 2월 24일에 확인함. 
  25. “Ukraine: EU deploys cyber rapid-response team”. 《BBC News》 (영국 영어). 2022년 2월 22일. 2022년 2월 24일에 원본 문서에서 보존된 문서. 2022년 2월 24일에 확인함. 
  26. Krebs, Brian. “Recent 10x Increase in Cyberattacks on Ukraine”. 《Krebs on Security》. 2022년 3월 11일에 확인함. While our overall traffic dropped in Kyiv — and slightly increased in Warsaw due to infrastructure outages inside of Ukraine — the ratio of "good queries" to "blocked queries" has spiked in both cities. The spike in the blocking ratio Wednesday (March 9, 2022) afternoon in Kyiv was around 10x the normal level compared with other cities in Europe. This order-of-magnitude jump is unprecedented. 
  27. “Ukraine Refugee Situation”. UNHCR. 
  28. Ullrich, Johannes. “BGP Hijacking of Twitter Prefix by RTComm.ru”. 《ISC InfoSec》. SANS. 2022년 3월 28일에 확인함. 
  29. “Possible BGP Hijack”. BGPStream. 2022년 3월 28일에 확인함.