폴란드 전력망 대상 샌드웜의 다이노와이퍼 악성코드 공격 실패

러시아 APT 그룹 샌드웜, 폴란드 전력 부문 대상으로 다이노와이퍼 악성코드 공격 시도

2025년 12월 말, 폴란드의 에너지 인프라가 **러시아 국가 지원 위협 행위자 샌드웜(Sandworm)**에 의한 사이버 공격 시도의 표적이 되었다. 폴란드 에너지부 장관 미워시 모티카(Milosz Motyka)는 이 공격을 "폴란드 전력 시스템에 대한 역대 최대 규모의 사이버 공격"으로 묘사했으며, **새로운 파괴형 악성코드 다이노와이퍼(DynoWiper)**가 사용되었다. 폴란드 **사이버공간군사령부(Cyberspace Forces Command)**는 이 위협을 성공적으로 탐지하고 대응하여 운영에 차질을 빚기 전에 차단했다.

공격의 기술적 세부 사항

다이노와이퍼의 구체적인 침해 지표(IOC) 및 기술 분석은 아직 제한적이지만, 악성코드의 이름은 **데이터 삭제 또는 손상(wiper 기능)**을 목적으로 설계되었음을 시사한다. 러시아 GRU 군사정보국과 연계된 샌드웜은 과거에도 파괴형 악성코드를 배포한 전력이 있으며, 대표적인 사례로는 다음과 같다:

• NotPetya(2017) – 랜섬웨어로 위장한 전 세계적 와이퍼
• Industroyer(2016) – 우크라이나 전력망을 공격해 정전을 유발
• CaddyWiper(2022) – 우크라이나 조직을 대상으로 사용

폴란드 전력 부문에 대한 이번 공격은 샌드웜의 **전술, 기법, 절차(TTPs)**와 일치하며, 지정학적 영향력을 위해 중요 인프라를 교란하는 전략을 자주 사용한다. 이 그룹은 과거 우크라이나, 미국, 유럽의 에너지 부문을 공격한 바 있어, 이번 시도 역시 전략적 목표와 일관성을 보인다.

영향 및 대응

폴란드 사이버공간군사령부는 이번 공격이 피해를 유발하기 전에 무력화되었다고 확인했으나, 초기 침투 경로에 대한 세부 사항은 공개되지 않았다. 모티카 장관은 국가 인프라에 대한 사이버 위협의 고도화를 강조하며 다음과 같이 밝혔다:

"사이버공간군사령부는 연말 마지막 날에 우리 에너지 부문에 대한 역대 가장 강력한 공격을 진단했습니다."

이번 사건은 산업 제어 시스템(ICS) 및 운영 기술(OT) 환경에 대한 국가 지원 APT 그룹의 지속적인 위협을 보여준다. 폴란드의 방어가 성공적이었으나, 이 공격은 다른 국가들이 유사한 위협에 대비해 중요 인프라를 강화해야 한다는 경고로 작용한다.

보안 팀을 위한 권고 사항

에너지 부문 및 기타 중요 인프라 조직은 다음과 같은 조치를 취해야 한다:

1. 모니터링 강화 – ICS/OT 네트워크에서 와이퍼 또는 파괴형 악성코드 활동을 탐지하기 위한 이상 징후 탐지 시스템을 배포한다.
2. 네트워크 분리 – OT 시스템을 기업 IT 네트워크와 분리하여 **횡적 이동(lateral movement)**을 제한한다.
3. 사고 대응 계획 업데이트 – 와이퍼 악성코드 및 국가 지원 TTPs를 고려한 **대응 절차(playbook)**를 마련한다.
4. 위협 사냥 실시 – 샌드웜 관련 IOC 및 Living-off-the-Land(LotL) 기법을 사전에 탐지한다.
5. CERT와 협력 – 국가 사이버보안 기관과 위협 정보를 공유하여 집단 방어력을 강화한다.

결론

비록 이번 다이노와이퍼 공격은 실패로 끝났지만, 중요 인프라를 겨냥한 사이버 위협의 진화를 보여주는 사례다. 국가 지원 그룹이 역량을 고도화함에 따라, 방어자들은 파괴적인 사이버 공격에 대한 복원력을 우선시해야 한다. 폴란드의 신속한 대응은 국가 지원 위협에 대한 사전 예방적 사이버보안 조치의 중요성을 입증한다.

추가 업데이트는 CERT Polska 및 업계 선도 사이버보안 기업의 위협 인텔리전스 보고서를 참고하시기 바랍니다.