Written by:Gabby Roncone, Dan Black, John Wolfram, Tyler McLellan, Nick Simonian, Ryan Hall, Anton Prokopenkov, Luke Jenkins, Dan Perez, Lexie Aytes, Alden Wahlstrom
러시아가 우크라이나를 침공한 지 햇수로 3년째로 접어들고 있는 2024년 4월 현재까지 Sandworm(일명 FROZENBARENTS)이라 불리는 공격 그룹이 여전히 우크라이나에 강력한 위협으로 남아 있습니다. 이 공격 그룹은 러시아의 전쟁 목표를 달성하기 위해 전술적이고 유연하게 사이버 작전을 수행하고 있습니다. 2024년 4월 현재 이들은 이전보다 더 러시아 군과 긴밀히 협력하며 작전을 펼치고 있습니다. 러시아 정부가 지원하는 공격 그룹 중 Sandworm만큼 러시아 군과 긴밀한 관계를 가진 조직은 없습니다.
Sandworm은 우크라이나에만 위협적인 존재가 아닙니다. 맨디언트(Mandiant)의 관찰에 따르면 이 공격 그룹은 러시아의 주요 관심 지역에서만 활동하지 않습니다. 이들은 정치, 군사, 경제 측면에서 국익에 도움이 될 수 있다면 전 세계를 무대로 삼습니다. 일례로 Sandworm은 특정 국가 선거를 방해하려 했던 이력이 있습니다. 2024년 선거를 치르는 나라가 많은데, 이들 국가에 Sandworm은 심각한 위협이 될 수 있습니다.
이런 이유로 맨디언트는 Sandworm을 APT44로 분류해 추적하기로 하였습니다. 더불어 이 공격 그룹의 이전 활동에 대한 통찰력을 바탕으로 현재 전쟁 중인 러시아 정부를 지원하기 위해 그들이 어떤 활동을 하는지에 대한 내용을 담은 보고서(APT44: Unearthing Sandworm)를 발표하였습니다.
주요 발견!
APT44는 러시아 군의 지원을 받는 매우 활동적이고 수준 높은 전술을 펼치는 공격 그룹입니다. 이들은 스파이 활동과 사이버 공격 그리고 정치나 사회 혼란을 야기하기 위해 정보를 조작하거나 퍼트리는 작전(influence operations) 등 다양한 영역에서 움직이고 있습니다.
보통 국가가 후원하는 공격 그룹은 특정 임무에 전문화되어 있습니다. 반면에 APT44는 다양한 임무 수행을 위해 능력을 키우고 있습니다. 이는 러시아가 제시한 사이버 전쟁 개념이자 전략인 '정보 대치(information confrontation)'를 지원하기 위한 것으로 풀이할 수 있습니다. 이 전략은 단순한 사이버 공격을 넘어 정보를 조작하고 정보 흐름을 통제하여 올바른 의사 결정을 방해하고, 사회 혼란을 야기하고, 장기적으로 정보 작전에서 우위를 점하는 것을 목표로 합니다.
Figure 1: APT44’s spectrum of operations
APT44는 러시아 군을 지원하기 위해 다양한 활동을 해왔으며, 지난 10년 동안 우크라이나에서 발생한 거의 모든 파괴적인 사이버 공격을 주도했습니다.이 공격 그룹은 우크라이나에서 강력한 사이버 파괴 캠페인을 전개했으며, 시스템을 파괴하는 wiper 맬웨어를 사용해 여러 중요 인프라에 큰 영향을 미쳤습니다. 때로는 사이버 공격을 군사 공격과 때를 맞춰 진행하였습니다. 예를 들어 사이버 공격으로 적의 방어 시스템을 약화한 후 폭탄이나 미사일 공격을 하여 더 큰 피해를 줍니다.
전쟁이 계속되면서 APT44 활동의 초점은 파괴적인 공격에서 정보 수집으로 옮겨갔습니다. 특히 전쟁이 햇수로 2년째로 접어드는 시점부터 APT44의 작전 대상과 방법이 크게 달라졌습니다. 이 후 이들은 러시아 군이 전장에서 승리할 수 있는 스파이 활동에 집중하였습니다. 예를 들어 APT44가 주도한 한 장기 캠페인은 전선에 배치된 러시아 지상군이 적의 모바일 기기에서 중요 통신 정보와 표적 데이터를 빼돌려 분석하는 데 큰 도움을 주었습니다. 이처럼 APT44의 작전 방식은 지난 2년 동안 변화를 거듭하는 가운데 발전하였습니다.
Figure 2: APT44’s wartime disruptive activity
맨디언트는 APT44가 크렘린의 지시를 받아 러시아의 국익과 야망을 실현하는 수단이자 도구라고 확신합니다.
APT44의 또 다름 쓰임은 선거 방해, 여론 조작 등 민주주의 체계를 뒤흔드는 것입니다. 실제로 APT44는 러시아 군의 일부이지만 이들의 활동은 군사 목표에만 한정되지 않습니다. 크렘린이 전하고자 하는 정치 메시지, 위기 상황 대응, 그리고 러시아에 대한 부정적인 인식이나 비난, 또는 국제 사회에서 러시아의 입지를 훼손하는 발언이나 행동에 대한 대응 등 러시아의 이익에 도움이되는 활동에 참여하고 있습니다. 살펴본 바와 같이 APT44는 군사 활동을 넘어 크렘린의 정치 활동을 지원합니다. 이들이 주도한 사이버 공격을 시간순으로 정리하면 다음과 같습니다.
2014년: 우크라이나 선거 방해
2015년; 우크라이나 전력망 장애
2016년: 우크라이나 전력망 장애
2016년: 미국 선거 해킹 및 유출
2017년: 프랑스 선거 해킹 및 유출
2017년: 공급망 공격을 통한 전 세계 장애(NotPetya)
2018년: 평창 올림픽 개막식 방해
2019년: 조지아 텔레비전 방송국 장애
Figure 3: Timeline of consequential pre-war APT44 operations
APT44는 정치나 군사 갈등 상황에서 실력을 발휘하며 공격을 가한 전례가 있습니다. 이 공격 그룹은 수준 높은 해킹 실력을 갖추고 있고 목표 달성을 위해 큰 위험도 기꺼이 감수합니다. 그리고 러시아 국익을 위해서라면 전 세계를 공격 대상으로 삼을 수 있습니다. 이런 특성을 고려할 때 전 세계의 정부, 시민 사회, 중요 인프라 담당자들은 이들의 위협에 대비해야 합니다.
맨디언트는 APT44가 새로운 사이버 공격 방식을 널리 퍼뜨릴 수 있다고 봅니다. APT44가 만들어 활용한 파괴적인 공격 방식은 다른 위협 행위자들이 쉽게 모방할 수 있습니다. 특정 국가를 배후에 둔 공격 그룹이나 사적 이익을 추구하는 공격자 모두 APT44의 방식을 따라 사이버 공격 프로그램을 만들어 활용할 수 있습니다. APT44가 새로운 공격 도구나 수단을 개발하는 문턱을 낮추는 데 기여하는 것은 러시아에도 위험으로 다가옵니다. 맨디언트는 러시아의 사이버 보안 기관이 우크라이나를 상대로 APT44가 처음으로 사용한 파괴적인 사이버 공격 기술을 탐지하고 방어하는 훈련을 한 것을 관찰하였습니다. 러시아 정부도 APT44의 공격 기법이 유출되어 다른 세력이 악용할 수 있다는 가능성을 배제하지 않고 대비하는 것입니다.
앞으로 어떤 일들이 일어날까?
APT44는 전 세계를 대상으로 심각한 사이버 위협을 가하는 공격 그룹 중 하나로 자리매김할 것입니다. 이들은 10년 이상 사이버 위협의 최전선에서 활동하면서 여러 차례 새로운 방법으로 공격을 수행하였습니다. 선거에 영향을 주려는 시도나 국제 스포츠 기구에 보복한 APT44의 이전 활동을 놓고 볼 때 이 공격 그룹은 국가나 민족의 이익, 명예, 우월성 같은 민족주의적 동기로 악의적인 활동을 해왔고 앞으로도 같은 이유와 목적으로 작전을 펼칠 것으로 보입니다.
전쟁이 끝나지 않는 한 우크라이나는 APT44의 주요 작전 대상에서 벗어나지 못할 것입니다. 물론 우크라이나만 바라보지는 않을 것입니다. APT44가 걸어온 길을 되짚어 보면 크렘린의 목표를 지원하기 위해 전 세계가 이들의 무대가 될 것 입니다. 앞서 소개한 바와 같이 이들은 전 세계를 대상으로 사이버 작전을 수행할 준비가 되어 있습니다. 서방 세계의 변화하는 정치 상황, 선거, 그리고 러시아 인근에서 발생하는 새로운 갈등 상황이 앞으로 APT44의 활동에 영향을 미칠 것입니다. 따라서 대비 태세를 늦추지 말아야 합니다.
4 weeks ago
9
