러시아 해커들이 우크라이나의 전력망을 공격해 대규모 정전을 발생시키려고 했다는 사실이 드러났다. 정전이 발생했다면 200만 명이 피해를 볼 수 있었다.

우크라이나 정부와 슬로바키아의 사이버보안 업체 이셋(ESET)에 따르면 해커들은 공격 대상 시스템에 침투해 핵심 데이터를 삭제하고 시스템을 무력화하도록 설계된 악성 소프트웨어 ‘와이퍼(wiper)’를 사용해서 우크라이나 에너지 회사의 컴퓨터를 공격하려고 시도했다.

피해 규모는 확실히 드러나지 않았다. 다만 우크라이나 정부는 해커들의 공격을 저지했다고 밝히며 해당 공격이 우크라이나 동부에서 벌어지고 있는 러시아 군대의 작전을 지원하기 위한 것이었다고 추정했다. 공격에 성공했다면 해킹으로 인한 역사상 가장 큰 규모의 정전이 발생할 뻔했다.

그러나 최근 몇 주 동안 국제 협력 국가와 기관들에 공유된 우크라이나 정부의 문서를 보면 러시아 해커들이 최근에 우크라이나 전력 회사에 실제로 침투해서 변전소 아홉 곳의 가동을 일시적으로 중단시키는 사건이 발생했던 것으로 보인다. 해당 비공개 문서는 MIT 테크놀로지 리뷰에도 공유됐다. 우크라이나 정부 관계자는 코멘트 요청에 응하지 않았고 두 사건 사이에 연관성이 있는지 여부도 확인해주지 않았다.

우크라이나 정부의 컴퓨터긴급대응팀(Computer Emergency Response Team, CERT)이 작성한 해당 문서에는 “성공적인 공격 시도가 적어도 두 건 있었으며 그중 하나는 우크라이나가 러시아에 대한 의존에서 벗어나기 위해 유럽 통합 전력망에 합류한 날로부터 바로 며칠 뒤인 3월 19일에 시작됐다”고 적혀 있다.

문서가 작성된 이후에 우크라이나 특수통신 정보보호국(State Special Service for Digital Development)의 빅토르 조라(Victor Zhora) 부국장은 와이어드(Wired)와의 인터뷰에서 해당 보고서가 ‘예비’ 보고서라고 주장하며 내용을 ‘실수’라고 표현했다.

해커들의 공격 성공 여부를 떠나서 우크라이나 전력망을 대상으로 한 사이버공격은 러시아가 ‘샌드웜(Sandworm)’이라는 해킹 단체를 통해 우크라이나를 계속해서 공격할 것이라는 의도가 드러나는 행위로 풀이된다. 미국은 샌드웜을 러시아군 정보기관 소속 74455부대로 파악하고 있다.

러시아 정보기관 소속으로 추정되는 해커들은 지난 2015년과 2016년에도 우크라이나의 전력 시스템을 중단시켰던 적이 있다. 2015년에 벌어졌던 공격은 대체로 수동으로 이루어진 공격이었지만, 2016년에 벌어진 사이버공격은 ‘인더스트로이어(Industroyer)’라는 이름의 악성 소프트웨어를 사용해 벌어진 자동화된 공격이었다. 조사관들이 이번 공격에서 발견한 악성 소프트웨어는 지난번에 사용된 소프트웨어와의 유사성으로 인해 ‘인더스트로이어2(Industroyer2)’로 명명됐다.

12일 인터뷰에서 조라는 “우리는 사이버공간에서 8년 동안 계속해서 우리에게 침투해온 적을 상대하고 있다”면서 “우리가 이번에 공격을 막아냈다는 것은 우리가 더 강해졌으며 지난번보다 더 제대로 대비되어 있다는 것을 보여준다”고 말했다.

이셋의 분석가들은 인더스트로이어2의 기능과 목표를 확인하기 위해 코드를 분석했다. 그 결과 해커들은 전력 공급 시스템을 중단시키려고 했을 뿐만 아니라 우크라이나가 전력망 제어에 사용하는 컴퓨터들까지 파괴하려고 했다는 것이 드러났다. 해커들의 공격이 성공했다면 전력 회사의 컴퓨터를 사용하여 시스템을 신속하게 온라인으로 되돌리는 기능도 차단되었을 것이다.

지난번 사이버공격이 발생했을 때 우크라이나 사람들은 전력망 제어 시스템을 수동으로 전환해서 몇 시간 안에 빠르게 통제권을 되찾을 수 있었다. 하지만 현재는 전쟁으로 인해 그런 작업이 극도로 어려울 것으로 보인다. 적군의 탱크와 군대가 근처에 있을 수도 있고 컴퓨터까지 파괴된 상황이라면 변전소로 트럭을 보내기가 쉽지 않을 것이다.

전문가들은 러시아가 지금까지 우크라이나와 전 세계를 상대로 벌였던 각종 사이버공격 사건 기록을 보면 러시아 해커들이 이번 우크라이나 전쟁 상황에서도 분명 나타나서 피해를 일으킬 것이라고 예상해왔다. 미국 관계자들도 러시아가 우크라이나와의 지상전에서 고군분투하고 있는 가운데 러시아가 공격 범위를 확대할 수도 있다고 몇 달 동안 경고해왔다.

전쟁이 진행되는 동안 우크라이나와 미국은 러시아 해커들이 계속해서 ‘와이퍼’를 이용해 사이버공격을 벌이는 것에 대해 비난했다. 해커들의 공격으로 우크라이나의 정부 시스템과 금융 시스템이 타격을 받았으며 키이우는 서비스 거부 공격(denial-of-service attack)의 표적이 되어 중요한 순간에 정부 웹사이트가 마비되기도 했다.

그러나 인더스트로이어2를 이용한 이번 공격은 지금까지 전쟁 중에 벌어진 사이버공격 중 가장 심각한 공격이다. 우크라이나의 사이버보안 관계 기관들은 마이크로소프트와 이셋과 협력하여 이번 사이버공격을 조사하고 대응하기 위해 노력하고 있다.

이번 공격을 비롯해 정부가 지원하는 해커들이 산업 시스템을 공격 대상으로 삼은 것이 공개적으로 알려진 사건은 그다지 많지 않다.

첫 번째로 알려진 사건은 2010년에 있었다. 당시 미국과 이스라엘의 보도에 따르면 이란의 핵 프로그램을 공격하기 위해 ‘스턱스넷(Stuxnet)’이라는 이름의 악성 소프트웨어가 제작된 것으로 드러났다. 러시아 정부가 지원하는 해커들은 우크라이나, 미국, 사우디아라비아의 산업 시스템에 사이버공격을 여러 번 감행했던 것으로 알려져 있다.