최근 폴란드의 에너지 그리드를 마비시키려던 러시아 정부 연계 해킹 그룹의 시도가 드러나며 전 세계 보안 커뮤니티가 긴장하고 있습니다. 이번 공격은 단순한 정보 탈취를 넘어 국가 시스템의 물리적 가동 중단을 목표로 하는 '파괴형 멀웨어(Destructive Malware)'가 동원되었다는 점에서 시사하는 바가 큽니다.
폴란드 에너지부 장관 Milosz Motyka는 지난 12월 29일과 30일, 두 곳의 열병합 발전소와 풍력 터미널 및 배전 운영사 간의 통신 링크를 겨냥한 대규모 사이버 공격이 발생했다고 밝혔습니다.
1. 위협 주체와 공격 도구: Sandworm과 DynoWiper
사이버 보안 전문 기업 ESET의 분석에 따르면, 이번 공격의 배후에는 러시아 군 정보기관(GRU) 산하의 악명 높은 해킹 그룹인 'Sandworm'이 있는 것으로 파악되었습니다. 이들은 과거 2015년과 2016년 우크라이나 전력망 마비를 주도했던 조직입니다.
이번에 발견된 새로운 무기는 'DynoWiper'라 명명되었습니다. 이 소프트웨어는 시스템의 데이터를 복구 불가능한 수준으로 파괴하여 운영체제 자체를 무력화시키는 '와이퍼(Wiper)' 계열 멀웨어입니다. 특히 에너지 인프라의 핵심인 ICS(산업제어시스템)와 운영 기술(OT) 환경을 타격하기 위해 설계된 것으로 보입니다.
2. 공격의 대상과 메커니즘
해커들은 단순한 IT 서버가 아니라, 재생 에너지 설비와 전력망 운영자 사이의 통신 프로토콜을 노렸습니다. 이는 현대적인 스마트 그리드 환경에서 클라우드 및 네트워크 엣지 단의 보안이 얼마나 취약할 수 있는지를 극명하게 보여줍니다. 다행히 폴란드의 방어 시스템이 정상 작동하여 실질적인 인프라 피해는 발생하지 않았습니다.
[아키텍트의 분석: 현대적 인프라 보안의 관점]
시니어 아키텍트 입장에서 이번 사건은 '공급망 보안'과 '프로토콜 무결성'의 중요성을 다시 한번 확인시켜 줍니다. 국가 기반 시설의 현대화로 인해 과거 폐쇄망(Air-gapped)이었던 시스템들이 점차 Cloud 환경과 연결되고 있으며, 이 과정에서 발생하는 접점(Attack Surface)은 해커들에게 매력적인 타깃이 됩니다.
- WAF 및 엣지 보안의 역할: 외부 통신 링크와 내부 ICS 네트워크 사이의 WAF(Web Application Firewall) 및 API 게이트웨이는 비정상적인 트래픽 패턴을 탐지하고 차단하는 최전선 방어벽이 되어야 합니다.
- 제로 트러스트(Zero Trust) 아키텍처: 이번 공격처럼 통신 링크를 노리는 위협에 대응하기 위해서는 내부망 내에서도 모든 통신을 상시 검증하는 'Zero Trust' 원칙이 필수적입니다.
- 코드 수준의 가시성: DynoWiper와 같은 고도화된 멀웨어는 실행 초기 단계에서 커널 레벨의 비정상 동작을 탐지해야 합니다. Python이나 Go 기반의 보안 도구들을 활용하여 실시간 시스템 로그를 수집하고 AI 모델을 통해 이상 징후를 추론하는 파이프라인 구축이 절실합니다.
원문 출처: Researchers say Russian government hackers were behind attempted Poland power outage
댓글
댓글 쓰기