러시아 산드웜 그룹, 폴란드 에너지망을 표적으로 한 DynoWiper 악성코드 공격

러시아 APT 산드웜, 폴란드 에너지 부문 대상으로 파괴적 와이퍼 공격 시도

2025년 12월 말 폴란드 전력망을 대상으로 한 사이버 공격이 러시아 국가 지원 고급 지속 위협(APT) 그룹인 **산드웜(Sandworm)**에 의해 자행된 것으로 확인되었다. 공격자는 데이터 삭제 및 중요 인프라 운영을 방해하기 위해 설계된 신종 파괴형 악성코드 DynoWiper를 배포하려 했으나, 최종적으로는 실패했다. 그러나 포렌식 분석 결과 상당한 기술적 정교함이 드러났다.

공격의 기술적 세부 사항

이번 사건을 조사한 보안 연구원들은 산드웜(또는 APT44, Voodoo Bear로 알려진 그룹)이 DynoWiper를 활용한 공격을 수행했다고 확인했다. 이 악성코드는 와이퍼 유형에서 흔히 볼 수 있는 다음과 같은 특징을 보인다:

• 시스템 핵심 및 운영 데이터 대상 파일 손상 기능
• 수평 이동 중 탐지 회피를 위한 지속성 메커니즘
• 연결된 시스템 전반에 최대 피해를 입히기 위한 네트워크 전파 기법

초기 감염 경로는 아직 조사 중이지만, 산드웜의 과거 공격 패턴을 고려할 때 피싱, 공급망 침해, 또는 패치되지 않은 취약점(예: Microsoft Outlook의 CVE-2023-23397) 악용이 유력한 진입 경로로 추정된다. 이 공격은 러시아가 NATO 동맹국의 중요 인프라를 대상으로 한 사이버 작전 패턴과 일치하며, 고조된 지정학적 긴장 속에서 발생했다.

영향 및 귀속 분석

공격이 운영 중단으로 이어지지는 않았지만, 그 파장은 심각하다:

• 연쇄적 장애 가능성: 성공적인 와이퍼 배포는 산업 제어 시스템(ICS) 설정을 손상시켜 대규모 정전이나 장기간停電을 유발할 수 있었다.
• 하이브리드 전쟁의 격화: 이번 사건은 러시아가 사이버 공격을 지정학적 강압 수단으로 지속적으로 활용하고 있음을 보여준다.
• 중요 인프라에 대한 신뢰 약화: 에너지 부문에 대한 반복적인 표적 공격은 유럽 전역에서 막대한 방어 비용 증대를 초래할 수 있다.

산드웜에 대한 귀속은 전술, 기법, 절차(TTPs) 분석을 통해 이루어졌으며, 이는 2015/2016년 우크라이나 정전 사태 및 2017년 NotPetya 와이퍼 공격과 같은 이전 공격에서 관찰된 패턴과 일치한다. 폴란드 컴퓨터 비상 대응팀(CERT.PL)과 민간 부문 파트너들은 현재 포렌식 분석을 진행 중이다.

대응 및 권고 사항

에너지 공급업체 및 중요 인프라 운영 기관의 보안 팀은 다음 조치를 취해야 한다:

1. ICS 네트워크를 엄격한 세분화를 통해 기업 IT 환경과 격리.
2. 와이퍼 악성코드 동작을 탐지할 수 있는 엔드포인트 탐지 및 대응(EDR) 솔루션 배포.
3. 운영 기술(OT) 시스템에 대한 모든 원격 접근에 다중 인증(MFA) 강제 적용.
4. 와이퍼 공격 시뮬레이션을 통한 테이블톱 연습으로 대응 계획 검증.
5. CERT.PL에서 발표 예정인 DynoWiper 관련 침해 지표(IOC) 모니터링.

이번 사건은 국가 지원 공격자가 중요 인프라에 가하는 지속적인 위협을 상기시키는 사례이다. 특히 국가 안보에 필수적인 부문에서는 파괴형 악성코드에 대한 대응력을 우선적으로 강화해야 한다.