우크라이나 해커들이 러시아 드론 제조사 IT 인프라를 파괴함

(prm.ua)

1P by GN⁺ 2일전 | ★ favorite | 댓글 1개

우크라이나 해커 그룹이 군 정보기관과 협력해 러시아 주요 드론 제조사 Gaskar Integration의 IT 인프라를 마비시킴
47TB 이상의 중요 데이터와 백업 자료가 삭제되어 핵심 사업 운영이 중단됨
공장 내부 시스템과 회계, 생산 프로그램이 모두 작동 불능 상태에 놓임
생산 공장 출입문까지 차단되어 직원들이 비상구를 이용해 출입함
탈취된 데이터에는 직원 개인정보 및 드론 기술문서가 포함되어 우크라이나 국방부에 제공됨

주요 내용

우크라이나 사이버 활동가들은 군 정보기관과 협력해 러시아군에 드론을 공급하는 최대 규모 제조사 중 하나인 Gaskar Integration의 네트워크와 서버 인프라를 공격함
이 공격으로 47TB가 넘는 기술 정보와 10TB의 백업 자료까지 파괴됨, 해당 데이터에는 러시아와 중국 간 긴밀한 협력 정황도 포함되어 있음
해킹으로 인해 인터넷, 생산 프로그램, 회계 프로그램 등 기업 내 모든 시스템이 마비되어 Gaskar의 연구개발센터 역시 정상 운영이 불가능해짐
모든 드론 생산 공장 내 출입문이 차단되어 직원들이 비상구를 통해 퇴근 및 이동해야 하는 상황 발생
탈취한 정보에는 직원 기밀 설문지, 드론 생산에 관한 기술 문서 등이 포함되어 있어 해당 정보가 우크라이나 국방부 산하 전문가들에게 전달됨

추가 배경

군 정보국 소속 사이버 전문가들이 이전에도 러시아 철도 웹사이트를 강력한 공격으로 비활성화시킨 사례가 있음
과거에도 러시아 Regiontransservice에 대한 공격을 성공적으로 수행하여 모든 서비스를 중단시킨 전력이 있음

▲

GN⁺ 2일전 [-]

Hacker News 의견

나는 집에서 소규모 랩을 운영함, 서비스는 30개 정도임
어느 날 메인 디스크를 교체하면서 백업을 활용해 모든 것을 처음부터 다시 구축함, 한 시간만에 다시 살아남
하지만 그 후 일주일 동안 여기저기 수정하고 왜 이렇게 설정했는지 기억도 안 나는 부분들까지 챙기느라 고생함
이건 한 명이 관리하는 간단한 Docker 기반 랩이고 나도 IT에서 일함
하지만 여러 사람들이 수년간 관리했던 전체 인프라를 처음부터 복구하는 건 정말 엄청난 일임
나는 인근 병원이 랜섬웨어에 걸렸을 때 자원봉사로 복구를 도왔고, 그곳의 두 IT 직원은 어떻게 해야 할지 전혀 모름, 공식적 지원은 기대 이하였음
대기업의 랜섬웨어 사고도 도왔는데 왜 시스템이 이렇게 구성됐는지, 기억하려 애쓰는 노력이 엄청 컸음
문서화와 테스트가 되어 있었다고는 하지만 실전에서는 현실의 벽을 느끼게 됨
- 우리 집이 경찰 급습을 당해 데스크탑, 랩탑, NAS, 하드 드라이브 등 1만불 어치 장비를 가져간 적이 있음
  전 직장에서 백업과 재해복구 계획을 담당했던 덕분에 준비를 해뒀었음
  - 현장에 미러링된 백업(경찰이 못 찾았거나 굳이 두고 간 듯)
  - 예전 장비들(나는 좀 수집하는 편, 이런 상황 대비 겸용)
  - 다중 오프사이트 백업
  - 셋업 문서화
    하루 이틀 만에 대부분 복구하고 데이터 손실은 이틀 치 정도였음, 다행히 집에서 쓰는 거라 치명적이진 않았음
    이 일을 겪고 다양한 구조적 개선을 하게 됐고, 앞으로 이런 사건 피해가 더 줄어들게 됨
    (그리고 8개월 후 경찰이 죄 없다는 결론을 내고 내 장비를 돌려주라 했지만 아이들은 트라우마를 겪었음)
- 문서화가 정말 중요한 이유임, 소프트웨어 아키텍처 차원에서도 마찬가지임
  몇 달만 지나면 내가 왜 이 선택을 했는지 기억이 안 나기 쉬움
  예를 들어 "왜 ORM/SQL 툴로 Kysely를 쓰기로 했는지", "Deno/Bun을 왜 쓰는지", "폴더 구조를 기능단위로 한 이유", "라이브러리 포크 이유 및 관리법", "AWS/GCP/Azure/도커 선택 이유", "Kubernetes 배포판 고른 이유", "이 프로젝트를 왜 시작했는지/목표는 뭔지" 등
  그래서 README.md에 # Decisions 섹션을 만들어 문서화함
  덕분에 스스로의 선택을 계속 의심하며 문서들을 끝없이 뒤지는 일에서 해방됨
- 90년대 메인프레임은 너무 안정적이고 중복 구성이 잘 돼 있어서 10년 넘게 재부팅 안 하는 경우도 있었음, 커널까지 무중단 업그레이드도 됐었음
  그런데 어느 회사에 정전이 오고 백업 발전기도 실패해서 파워가 복구됐을 때 실제로 그 기계가 뭘 하고 있었는지, 시작은 어떻게 해야 하는지 파악하는 데 몇 달이 걸림
  그 후 대부분 회사가 6개월에 한 번씩 메인프레임을 일부러 리부팅해서 재기동 테스트를 하게 됨
- 현대 IT 관행에서는 재해 복구가 거의 고려되지 않음
  엄격하게 백업을 하는 조직도 실제로 복구 테스트를 하는 경우는 드묾
  인력이 부족하다 보니 빠르게 뭔가 쌓아 올릴 뿐임
  쉽게 재구성 가능한 인프라 구조를 설계하는 건 그냥 설치하는 것보다 두 배의 노력이 들어가는 일임
- 병원 랜섬웨어 자원봉사 이야기 궁금함
  헬스케어 IT에서는 접근 권한을 엄청 까다롭게 다뤄서, 예전에는 PHI 교육이나 신원조회 없이 시스템 접근이 불가능했는데, 비상 상황이니 신속하게 임시 온보딩 절차를 밟았던 것인지, 혹은 병원 내의 인맥을 통해 자원봉사를 하게 된 것인지 묻고 싶음
나는 독일 회사에서 근무 중임
생산 관리가 3개월 전 계획을 엑셀로 출력해 진행 중임
ERP 시스템 마이그레이션에 실패했는데, 아무도 해결법을 모름
생산관리부는 이 사실을 숨기고 엔지니어링 부서에 말도 안 함
이 상황이 수년간 이어질 듯, 컨설턴트들은 먹고 사는 시스템임
제조에 IT 인프라가 필수는 아니라는 걸 증명함, 없어도 되는, 그냥 있으면 좋은 거임
- 90년대 말~2000년대 초 덴마크 국방부에서 SAP로 만든 신규 조달 시스템인 DeMars를 도입하려 했음
  조달 업무 하던 내 친구는 DeMars 도입 직전 자기 담당 물자를 엄청나게 대량 주문했음, 사기 혐의로 불려간 적도 있음
  DeMars에 불신이 커서 재고 보유가 중요하다고 판단했기 때문임
  실제로 DeMars가 도입되자 조달 업무가 1년간 사실상 멈춤
  결국 내 친구가 담당하던 품목만 새 시스템 도입 기간 내내 재고가 유지됐음
- 90년대 후반 제조사에서 펌웨어 개발자로 근무했었음
  아직도 모든 걸 종이에 기록하던 시절이었음
  사내에서 Oracle 기반 ERP를 성공적으로 구축하고 모두 기뻐했지만, 6개월 후 누군가가 기계실 벽을 지게차로 들이받아 UPS에서 불이 나서 Oracle 서버 등 장비 세 랙이 전소됨
  모두 시스템을 신뢰하지 않아 여전히 종이로 기록했기 때문에, 6년 후 퇴사할 때까지도 종이+엑셀 보고로 일함
  결과적으로 종이 기반 방법이 지게차에도 강한 것으로 증명됨
- Excel은 많은 사무직 직원들이 직관적으로 이해하고 수정할 수 있음
  IT 인프라 대부분에 이런 접근성 높은 기능이 도입된다면 훨씬 더 실용적일 것 같음
- 한편, IT 자동화가 생산에 완전히 자리 잡고 이전 매뉴얼 방식에 익숙한 인력이 없을 때는 수작업 방식으로 되돌아가는 게 정말 어려울 수 있음
  주문/워크플로 복잡도에 따라 다르겠지만 말임
- 소프트웨어 없이는 드론도 쓸모 없음
  재고를 외우고 있다면 수동 조작용 쿼드콥터 조립 정도는 가능하겠지만, 3D 프린팅 파트 생산, 안정적인 비행, 자율 운항, 감시, 기타 고급 활용은 불가능함
  원격제어도 힘들 것임
우크라이나에서의 사이버전이 새로운 정점에 도달하는 중임, 단순한 사이버 공격을 넘어서고 있음
이번에 공격받은 러시아 드론 제조 시설처럼, 드론이 이 전쟁의 양상을 바꾼 핵심임
드론이 정찰, 방해, 탄약 요격 등 혁신을 가져옴
소재 대비 파괴력이 크고, 영상 인식 기술 발전으로 신호 방해에도 일부가 작동함
첩보 영화 같은 현실이 벌어지는 중임
우크라이나가 비대칭 전쟁의 명수임을 보여줌
장거리 폭격기 파괴, 드론 생산 거점 마비 등으로 러시아의 주력 전력을 흔듦
전쟁이 어떻게 끝날지는 모르겠지만 우크라이나의 저항은 계속될 것이 분명함
- 소설 Ministry of the Future에서는 드론이 너무 발전해 결국 누구도 안전하지 않은 세상에서 전통적 전쟁은 의미 없어지는 미래가 그려짐
  작은 집단도 전 세계 어디서든 누구든 암살 가능해짐
  흥미롭긴 한데, 이야기는 약해서 책 자체는 별로 추천하고 싶진 않음
- “전자 신호 방해에도 작동하는 드론”에 대해, 요즘은 전자파를 쓰지 않고 광섬유 케이블로 제어되는 드론도 있음, 더욱 무서운 현실임
- 이번 전쟁에서 드론이 중요한 역할을 하는 게 앞으로 다른 전쟁들에도 적용될지는 지켜봐야 할 문제임
  러시아가 엄청난 인명 손실을 감수하며 조금씩 진격하는 특수 상황이 FPV 드론의 가치를 키우고 있음
  대부분 국가에서는 그런 손실 감수를 안 할 테니, 이 형태가 전쟁의 표준이 되진 않을 것 같음
  저렴한 장거리 제트 드론이 오히려 더 중요한 역할을 하게 될 수도 있음
- 기사에 나온 정보에는 가정이 많이 섞여 있음
  한쪽 이야기만 듣고 있을 뿐이며, 선전 가치 때문에 과장될 수 있음
  버전 관리가 제대로 돼 있고, 각 개발자가 코드와 CAD 파일을 로컬로 복사해두는 게 일반적임
  이메일과 오피스 파일 등은 유실됐을 수 있지만, 그게 치명적 손실은 아닐 가능성 높음
  웹사이트도 그대로 작동 중임
  이번에 공격받은 이 회사는 드론 커뮤니티에서도 유명한 곳이 아니라서 거대 모델 생산 중단 같은 일은 아닌 듯함
  버전 관리 같은 상식들을 모르지 않을 텐데, 댓글 작성 스타일이 ChatGPT가 쓴 것 같기도 하다는 생각도 듦
나는 스위스의 중견 회사에서 일하고 있음
자체 ERP를 개발 중인데 스택이 악몽 그 자체임
‘혼란을 통한 보안’이라고 스스로 부름
공격자가 침입해도 빠져나오지 못할 것
90%의 코드가 파괴돼도 서비스엔 영향 없음, 왜냐하면 95%는 이미 쓸모없는 코드임
- 대기업용 MRP 시스템을 직접 개발해본 경험이 있어서 이 방식이 어떻게 될지 궁금함
  나는 보통 권장 보안/재해복구 방식에 OTP-해시 기반 키 인증 레이어까지 추가함
  내가 좀 심한 편이라 생각했는데, 이 시스템은 거의 세기말 생존 시나리오처럼 느껴짐
- 이건 진화 과정에서 탄생한 복원성 같다는 인상임
- 진짜 세상의 ICE 장벽 같아서 웃김
- 무섭기도 하고 감탄스러운 면도 있긴 함
대부분 기업은 회사 내 거의 모든 데이터 저장소가 완전 삭제되고, 0부터 다시 배포해야 하는 상황을 명확히 대비하지 않음
실제로 0부터 복구를 직접 해본 적이 없다면 배포 의존성에 순환 고리가 있을 가능성이 높음
Jenkins/Puppet/Ansible로 config pusher를 배포하다가 어느 순간 Jenkins 자체도 config pusher 의존성이 생겨서, 그냥 차례대로 구축할 수 없게 됨, 과거부터 모든 변경 내역을 다시 따라가야 하는 상황이 발생함
- IT에는 거의 모든 부분에 순환 의존성이 존재함
  SSO가 거의 모든 시스템의 의존성이 되고, SSO 내 네트워크와 각종 시스템 관리에도 순환 구조가 생김
  완전 새로 부팅하는 것은 언제나 어렵고 시간도 많이 소요됨
  완전히 분리된 이중 인프라를 구축하지 않는 이상, 완벽하게 이 문제를 해결하는 건 사실상 불가능함
- 내가 아는 한 회사도 1년 전에 이런 일을 겪음
  모든 것이 의존하던 메인 스토리지 클러스터가 죽었음
  결국 Dev 노트북에서 모든 것을 재배포해서 복구함
- black start(완전 초기화 복구)는 엄청 어려운 문제임
  Facebook도 과거 데이터센터 도어락을 드릴로 직접 뚫고 들어가 복구한 적 있음
- 이런 상황에서 어떻게 해야 복구할 수 있을지 궁금함
  종이로 된 문서라도 남아 있다면 그걸로 부트스트랩이 가능한지, 아니면 그것마저 사라졌다고 가정해야 하는지 의문임
- 건설업도 비슷한 문제를 겪음
  제품 수명이 50년 이상, 심하면 수백 년인데, 30년 전 만든 설계 파일을 지금 파일 포맷 호환성 문제로 열 수 없는 경우가 많음
  디지털화 얘기가 수십 년 전부터 나왔지만, 결국 오래된 2D 도면(혹은 요즘은 ‘디지털 종이’라 부르는 PDF)이 미래에 도움이 될 수도 있음
  진짜 종이 사용은 점점 줄지만, 파일 호환성 이슈로 결국엔 종이가 유용해질 수 있겠다는 생각임
기사 제목에는 공격자들이 ‘사이버 액티비스트’라고 되고 본문에는 ‘사이버 범죄자’로 불림
과거 범선 시기 때 준공적인 해적 ‘사략선’이나 ‘마르크 증서’처럼 경계선상에서 행동하는 이들이 떠오름
4세대 전쟁론에서는 민간-군사 경계가 흐려지는 것이 특징이라고 했음
교전 규칙이 점점 모호해짐
- 러시아가 매일 드론으로 민간인을 죽이는 상황임
  이게 그레이존 하이브리드 전쟁 같은 애매한 영역이 아니라 단지 시민들이 자기 이웃이 드론에 희생당하지 않게 하는 것임
- 이건 번역 이슈 같음
  해당 사이트가 우크라이나를 지지하는 색이 강해, 해커를 부정적으로 보이게 만들고 싶지 않아 ‘cyber criminal’을 단순히 ‘해커’ 의미로 썼을 수 있음
- 실제로는 우크라이나 군에서 조직적으로 움직이는 게 제일 타당할 것 같음
  그래서 범죄자가 아니라고 보는 게 맞음
- 롤린 후드 비슷한 상황임
  누구에게는 영웅, 누구에게는 범죄자
  아마 기사 자체가 여러 기사 조합이라 용어가 뒤섞였을 듯
  사이버전에서 편을 나눠 말할 별도의 용어가 있다면 좋겠음
  “사이버액티비스트”는 그냥 온라인 시위대 느낌이라, 영화에서 쓰인 뻔한 단어 대신 “사이버병사”나 “네트워크밀리샤” 같은 게 쓰였으면 함
기사 사진 날짜가 유닉스 에폭 시작일과 하루 차이 있는 거 보고 혼자 재밌어함
해당 웹사이트가 매우 독특함
러시아 정부가 차단해 TLS 에러 뜨고, 그걸 우회해도 Cloudflare의 "차단됨" 페이지, VPN을 써야 기사 원문(러시아어)까지 접근 가능함
- 링크된 페이지는 영어지만, 러시아 현지인은 이 사이트의 러시아어 버전이 타겟이 아니었을 수 있음
  러시아에서는 언어 문제에 민감하지만, 우크라이나에서는 실제로 러시아어도 많이 쓰이고 러시아어 기사도 출판됨
- archive.today, archive.org(인터넷 아카이브) 등 아카이브 사이트를 꼭 활용하길 권장함
  아카이브 링크도 누군가 최근에 저장해둠
- 이건 해당 웹사이트의 문제가 아니라 정부 차단, 혹은 CloudFlare 쪽 이슈 때문일 수 있음
  TLS 에러의 근본 원인 때문에 Cloudflare가 차단하는 것일 수도 있음
양측 모두 드론의 펌웨어에 대해 걱정을 하고 있는지 궁금함
적군이 쓰는 드론에 변조된 펌웨어를 몰래 심는 게 전략적으로 가치가 있을 것 같음
- 흥미롭지만 리스크가 큼(쉽게 들통나고 전체 작전을 무력화시킬 수 있음)
  결국 강경한 방식이 가장 합리적이라고 봄
- 드론은 보통 임무 직전에 펌웨어를 플래시함
- 실제로는 공장 문 닫는 것보다 드론들이 슬쩍 다른 행동(예: 발사 시점에 본진 공격이나 원격 통제)을 하게 하는 게 더 효과적일 수 있음
- 한 가지 재밌는 전략은 드론 SD카드에 바이러스를 심어둬서, 드론이 적진에 떨어져 적군이 컴퓨터에 꽂으면 그 컴퓨터가 감염되는 케이스도 있다고 들음
“우크라이나 사이버 활동가들이 군 정보기관과 협력…”
즉, 해외 정보기관에서 신호만 받아서 직접적 사이버전이 아니라는 의미임
- “해외 정보기관이 신호만 줘서 직접적 사이버전이 아니다”는 의견에 대해
  러시아 정보기관은 이미 NATO 국가를 직접 공격하고 있음, 변명할 여지도 거의 없음
- 우크라이나와 러시아 사이에서 이미 수년간 전쟁 중이기 때문에 굳이 그럴듯한 변명(deniability)은 필요 없는 상황임
- 외국 정보기관이 무엇을 의미하는지 궁금하고, 사실 전 세계적으로 상시 공격이 오가기에, 순진하게 생각하지 말라는 의견임
- 기사에 “외국 정보기관”이 나오지 않는다고 지적함
- 우크라이나 군사정보기관이라고 명시함

답변달기