러시아 Sandworm APT 그룹, 폴란드 전력망에 데이터 삭제 악성코드로 공격

러시아 Sandworm APT 그룹, 폴란드 전력망을 데이터 삭제 악성코드로 공격

보안 연구진들은 최근 폴란드 전력망을 대상으로 한 사이버공격이 러시아의 고급 지속 위협(APT) 그룹인 Sandworm에 의해 수행되었다고 분석했습니다. 이 공격은 **데이터 삭제 악성코드(data-wiping malware)**를 사용했으며, 이는 2015년 우크라이나 전력망 공격과 같이 대규모 정전 사태를 유발했던 Sandworm의 공격 방식과 유사합니다. 해당 공격으로 인해 수만 명의 시민들이 전력 공급 차단을 겪었습니다.

공격의 기술적 세부 사항

현재 구체적인 악성코드 종류와 공격 벡터는 공개되지 않았지만, 이번 사건은 Sandworm의 과거 공격 방식(TTPs: Tactics, Techniques, and Procedures)과 일치합니다. 러시아 GRU 군사정보국과 연계된 Sandworm은 과거 다음과 같은 악성코드를 사용했습니다:

• BlackEnergy (2015년 우크라이나 공격)
• Industroyer/CrashOverride (2016년 우크라이나 공격, CVE-2016-5851)
• NotPetya (2017년 전 세계적 데이터 삭제 악성코드, CVE-2017-0144)

폴란드 전력망에 대한 이번 공격은 운영 기술(OT) 시스템을 마비시키기 위해 데이터를 손상시키거나 삭제하는 **위퍼 악성코드(wiper malware)**를 사용한 것으로 추정됩니다. 랜섬웨어와 달리 위퍼 악성코드는 금전적 이익보다 파괴를 목적으로 하기 때문에, 국가 지원 사이버 사보타주에 자주 활용됩니다.

영향과 지정학적 맥락

이번 공격은 러시아의 우크라이나 침공 이후 러시아와 NATO 회원국 간의 긴장이 고조된 시기와 맞물립니다. 우크라이나에 대한 서방의 군사 지원의 주요 물류 거점인 폴란드는 러시아의 사이버 공격 대상이 되곤 했습니다. 이번 사건은 다음과 같은 점을 강조합니다:

• 중요 인프라가 현대 하이브리드 전쟁의 주요 공격 목표가 되고 있음을 보여줍니다.
• 사이버 스파이 활동과 물리적 파괴의 경계가 모호해지고 있음을 나타냅니다.
• 사이버 공격의 귀속(attribution) 문제가 여전히 도전적이며, 포렌식 증거가 대부분 간접적이라는 점을 보여줍니다.

중요 인프라 운영자를 위한 권고 사항

전력망 및 기타 중요 인프라를 관리하는 보안 팀은 다음과 같은 조치를 취해야 합니다:

1. OT 특화 위협 모니터링 강화 – 산업 제어 시스템(ICS)에 대한 비정상적인 네트워크 트래픽이나 무단 접근을 감지합니다.
2. IT와 OT 네트워크의 엄격한 분리 – 내부 네트워크 이동(lateral movement)을 제한하기 위해 네트워크 세분화를 구현합니다.
3. OT 환경에 최적화된 EDR/XDR 솔루션 도입 – 엔드포인트 탐지 및 대응 시스템을 강화합니다.
4. 사이버-물리 공격 시나리오에 대한 정기적인 테이블톱 연습 – 실제 공격 상황을 가정해 대응 능력을 점검합니다.
5. 위퍼 악성코드 및 파괴적 공격에 대비한 인시던트 대응 계획 검토 및 업데이트 – 최신 위협에 대응할 수 있도록 계획을 지속적으로 개선합니다.

폴란드 컴퓨터 비상 대응팀(CERT)과 국제 사이버보안 기관들이 현재 이 사건을 조사 중이며, 추가적인 분석을 통해 공격 지표(IOCs) 등이 공개될 예정입니다.

추가 업데이트는 SecurityWeek의 보도를 참고하시기 바랍니다.