공격을 받은 7곳의 110kV 변전소, 23곳의 35kV 변전소의 전기 공급 차단으로 그 지역에 사는 우크라이나 주민 약 23만 명이 1시간에서 6시간 동안 전기를 사용하지 못했다. 이바노프란키우스크는 올레스카(Olesska) 셰일 가스 지대가 있는 곳이었다.

규모는 작았지만, 우크라이나의 수도 키예프 주변 중북부와 이바노프란키우스크 주 남쪽의 체르니우치(Chernivtsi) 주에 전기를 공급하는 회사 두 곳도 동시에 사이버 공격을 받았다. 체르니우치도 올레스카 셰일 가스 지대에서 멀리 떨어지지 않은 곳이었다. 수도 키예프는 당연히 반러시아 정책의 중심지였다.

샌드웜 팀의 주목표는 나토 국가

우크라이나는 공식적으로 러시아를 사이버 공격의 배후로 지목했다. 사이버보안 전문가들은 정황적 증거인 두 국가 간의 정치적 상황을 넘어 러시아가 개입되었다는 과학적 증거도 내놓았다. 정치적으로 러시아에 유리한 사이버 공격을 오랫동안 주도했던 지능형 지속위협(APT, Advanced Persistent Threat 특정 국가, 기관, 또는 기업을 목표로 정한 뒤 장기간에 걸쳐 다양한 수단을 총동원하는 해킹 방식) 조직인 ‘샌드웜(Sandworm) 팀’의 변종 악성코드 ‘블랙에너지3(BlackEnergy3)’이 발견된 것이다.

그들은 사이버 공간에서 러시아를 위한 스파이 활동과 사보타주(파괴적인 테러 행위)를 주로 해왔다. 즉, 그들은 해킹을 통해 경제적 이득을 취하려는 민간 해커 집단과 확연히 다른 길을 걸어온 것이다. 샌드웜 팀의 주요 목표는 러시아와 적대적인 나토(NATO) 국가였다.

악성코드 '블랙에너지3'

샌드웜 팀은 2007년 ‘블랙에너지’ 악성코드를 사용해 디도스(DDoS) 공격을 실시한 바 있었다. ‘블랙에너지’는 산업공정을 통제하는 휴먼-머신 인터페이스를 목표로 만들어졌다. 그리고 이번 2015년 12월 23일 사이버 공격에는 ‘블랙에너지3’이 사용되었다. 이는 원격으로 산업시스템을 제어하고 데이터를 수집하는 스카다(SCADA, Supervisory Control and Data Acquisition)를 공격하도록 고안되었다. 블랙에너지3은 다양한 해킹 활동을 패키지화시킨 모듈식 악성코드로 산업 전반에 걸쳐 보편적으로 사용되는 스카다를 공격할 수 있게 설계되어 있었다.

침투와 정찰 활동

알려진 바에 따르면, 샌드웜 팀은 공격이 개시되기 약 6개월 전 우크라이나 전기 공급 회사의 임직원에게 스피어 피싱(spear phishing·불특정 다수가 아닌 특정한 공격 목표를 대상으로 한 피싱 공격) 이메일을 발송했다.

이메일을 받은 직원의 일부가 첨부된 블랙에너지3 악성코드를 실행시켜 자신의 회사 시스템에 악성코드가 침투하는 것을 의도치 않게 도왔다. 샌드웜 팀은 블랙에너지3을 통해 원격으로 해당 기업에 대한 정찰을 시작했다. 그리고 그들은 우크라이나 전기 회사의 변전소 운영자들이 원격으로 컨트롤 센터에 접속할 때 사용하는 VPNs(Virtual Private Networks·통상 보안을 이유로 특정 단체들이 내부인들만 사용할 수 있도록 구축하는 가상 사설망)에 관한 비밀 정보 획득과 그들의 시스템 운영 방식을 철저히 조사했다.

공격 개시, 전과 확대, 그리고 도피 시도

2015년 12월 23일 샌드웜 팀은 불법으로 탈취한 권한과 지금까지 수집된 정보를 바탕으로 원격으로 배전용 변전소의 차단기를 작동시켜 대규모 정전을 일으켰다. 그들의 공격은 여기서 멈추지 않았다. 전기 회사의 신속한 전력 복구를 방해하기 위해 지역의 콜센터에 도스(DoS) 공격을 실시했다. 도스 공격이 만들어낸 수많은 가짜 전화 때문에 콜센터 직원들은 정전 지역의 정확한 위치와 규모를 파악하지 못했다.

일반 시민들은 콜센터를 통해 현재의 상황을 안내받지 못했다. 즉, 공격을 받은 지역 거주민은 겨울철 전기 공급 차단으로 전기와 난방을 사용하지 못했을 뿐만 아니라 정보의 부재로 더 큰 공포감에 휩싸였다. 한편, 샌드웜 팀은 일부 변전소 컨트롤 센터의 복구 지원 장비들의 작업 속도를 지연시키기도 했다.

블랙에너지3에는 킬디스크(KillDisk) 악성코드도 있었다. 킬디스크는 침투한 컴퓨터와 시스템에 저장된 파일들을 삭제하고, 컴퓨터와 시스템의 재가동을 불가능하게 했다. 물론, 샌드웜 팀의 침투 흔적 역시도 삭제되었다. 사이버 공격으로 대규모 정전이 발생한 첫 번째 사례였다.

새로운 악성코드 인더스트로이어

러시아는 2016년 12월 17일 우크라이나의 전력망에 대한 사이버 공격에 재차 성공했다. 이번 공격에는 ‘인더스트로이어’(Industroyer)라는 새로운 악성코드가 사용되었다. 범용 악성코드였던 블랙에너지3과 달리, 인더스트로이어는 오로지 전기 공급망을 통제하는 스카다 시스템, 즉 우크라이나의 변전소만을 공격하도록 개발된 아주 정교한 모듈식 악성코드였다.

이 공격으로 우크라이나의 수도 키예프 북쪽에 위치한 ‘송전용 변전소’를 제어하는 스카다가 무력화되었다. 피해 규모는 정확히 알려지지 않았지만, 이번에도 대규모 정전이 발생해 우크라이나 시민들이 큰 불편을 겼었다. 자정 무렵 시작된 정전으로 약 1시간 이상 우크라이나 수도 키예프 주변 시민들이 겨울철 전기와 난방을 사용하지 못한 것이다. 짧은 시간이었지만, 자정 무렵 키예프에서 소비되는 전력의 약 5분의 1가량이 손실을 입었다. 이번에도 러시아 해커들은 공격 개시 약 6개월 전 한 전기 공급 회사에 침입해 공격을 위한 각종 정보 수집을 했으며, 공격 당일 전기 공급을 차단해 시민들의 불편은 물론, 우크라이나 정부를 정치적으로 압박했다.

국가기반시설의 무력화

우크라이나 대통령은 2016년 12월 전력망에 두 번째 사이버 공격이 발생한 후, 지난 두 달간 자국 내 변전소에 6500여 회의 해킹 시도가 발생했었다고 밝혔다. 또한, 그는 이번 공격을 단순한 테러 행위가 아닌 러시아에 의한 사이버 전쟁으로 규정했다. 즉, 샌드웜 팀의 이번 공격은 한 국가가 정치적 목적 달성을 위해 사이버 수단을 활용해 타 국가의 국가기반시설을 기습적으로 무력화시키는 전쟁 행위이자 앞으로의 전쟁 양상을 잘 보여주는 사례라 하겠다. 무엇보다 러시아는 우크라이나의 친서방 정책과 에너지 독립 시도를 무력화시키기 위하여 두 곳의 대규모 셰일 가스 지대에는 물리적 군사력을 투사했고, 나머지 한 곳에는 사이버 공격을 실시했던 것이다.

■ '제7회- 상'편 읽기

    우크라이나 ‘에너지 독립’ 시도… 사이버 공격에 물거품