폴란드 전력망을 노린 전례 없는 와이퍼 악성코드 공격

(arstechnica.com)

2P by GN⁺ 1일전 | ★ favorite | 댓글 1개

폴란드의 전력망이 러시아와 연계된 것으로 추정되는 새로운 와이퍼 악성코드(DynoWiper) 공격을 받았으나, 전력 공급에는 차질이 발생하지 않음
공격은 2025년 12월 말에 발생했으며, 재생에너지 설비와 배전 운영자 간 통신을 방해하려는 시도로 보고됨
보안업체 ESET은 이 악성코드가 데이터를 영구 삭제하는 파괴형 와이퍼로, 러시아 정부 해킹조직 Sandworm의 전술·기법과 유사하다고 분석
이번 공격은 2015년 우크라이나 전력망 해킹 10주년에 맞춰 이뤄졌으며, 당시 사건은 약 23만 명이 6시간 동안 정전 피해를 입은 것으로 알려짐
DynoWiper는 실제 전력 차단에는 실패했으나, 러시아의 사이버 공격 능력과 유럽 에너지 인프라의 취약성을 다시 부각시킨 사건임

폴란드 전력망을 겨냥한 와이퍼 악성코드 공격

연구자들은 폴란드의 전력망이 와이퍼 악성코드 공격 대상이 되었으며, 이는 러시아 국가 해커가 배포했을 가능성이 높다고 밝힘
- 공격은 전력 공급 운영을 방해하려는 시도로 분석됨
- Reuters는 12월 마지막 주에 사이버 공격이 발생했으며, 재생에너지 설비와 배전 운영자 간 통신을 교란하려 했으나 실패했다고 보도
공격에 사용된 악성코드는 DynoWiper로 명명되었으며, 서버의 코드와 데이터를 영구 삭제해 운영을 완전히 마비시키는 목적을 가짐
ESET은 공격의 전술·기법(TTP)을 분석한 결과, Sandworm APT의 이전 활동과 강한 유사성이 있다고 밝혔으며, 중간 수준의 확신(medium confidence) 으로 Sandworm의 소행으로 판단

Sandworm의 과거 공격 사례

Sandworm은 크렘린의 지원을 받는 것으로 알려진 해킹 조직으로, 여러 차례 파괴적 사이버 공격을 수행해 온 전력이 있음
- 2015년 12월 우크라이나 전력망 공격으로 약 23만 명이 6시간 동안 정전을 겪었으며, 이는 악성코드로 인한 최초의 정전 사건으로 기록됨
- 당시 사용된 BlackEnergy 악성코드는 SCADA 시스템에 침투해 합법적 기능을 이용해 전력 배급을 중단시킴
ESET은 이번 폴란드 공격이 그 사건의 10주년에 맞춰 발생했다고 언급
러시아 해커들은 과거에도 맞춤형 와이퍼 악성코드를 지속적으로 사용해 왔음
- 2022년에는 AcidRain 와이퍼로 우크라이나의 27만 개 위성 모뎀을 마비시킴
- 2025년에는 대학과 주요 인프라를 대상으로 여러 와이퍼를 배포한 사례가 보고됨

NotPetya와 러시아의 와이퍼 사용 역사

러시아의 와이퍼 사용 중 가장 유명한 사례는 2017년 NotPetya 사건으로, 원래는 우크라이나를 겨냥했으나 전 세계로 확산됨
- 이 공격은 전 세계 정부와 기업에 약 100억 달러의 피해를 초래
- NotPetya는 역사상 가장 비용이 큰 사이버 침입 사건으로 평가됨

DynoWiper의 실패 원인

DynoWiper가 전력 차단에 실패한 이유는 명확히 밝혀지지 않음
- 기사에서는 두 가지 가능성을 언급
  - 러시아가 폴란드 동맹국의 직접적 대응을 피하기 위해 제한적 공격을 의도했을 가능성
  - 또는 사이버 방어 체계가 악성코드의 작동을 차단했을 가능성
공격의 구체적 기술적 세부 사항이나 피해 규모에 대한 추가 정보는 공개되지 않음

사건의 의미

이번 사건은 러시아의 사이버 공격 역량이 여전히 활발히 작동 중임을 보여줌
동시에 유럽 에너지 인프라의 보안 강화 필요성을 다시 부각시키는 계기가 됨
DynoWiper는 새로운 형태의 와이퍼 악성코드로, 향후 유사 공격에 대비한 보안 연구 및 방어 체계 강화가 요구됨

▲

GN⁺ 1일전 [-]

Hacker News 의견들

피해 규모를 찾고 있다면, 이번 공격은 실패였음
과거 사례로는 2015년 12월 우크라이나에서 발생한 전력망 공격이 대표적임. 약 23만 명이 6시간 동안 정전 피해를 입었음
이번 전쟁은 오래된 전자장비 공급업체들을 시장에서 정리할 가능성이 큼
보안이 매우 뛰어나지 않으면(단순히 에어갭만으로는 부족함) 위협 지역에서는 영구적으로 사업을 잃게 될 것임
처음 제목을 봤을 때 ‘자동차 와이퍼가 인터넷에 연결될 필요가 있나?’라고 생각했음
기사에서 오해를 풀어줬지만, 이제는 그런 말도 안 되는 아이디어가 실제로 팔릴 수도 있다고 느끼는 게 씁쓸함
- 그렇지만 와이퍼가 닳았을 때 자동으로 새 제품을 배송하려면 인터넷 연결이 필요하지 않겠음?
폴란드는 지난 5년 동안 고위험 경계 상태를 유지해왔음. 준비할 시간은 충분했음
- 요즘은 며칠마다 심리전(psy-op)이나 피해 소식이 들려옴. “러시아 트롤”이 정치 담론에 영향을 준다는 말도 많음
  유럽은 이에 대칭적 대응을 하고 있는지 궁금함. 러시아 인터넷(Runet)에 서방 트롤을 풀어야 하는 건 아닐까?
Jaguar 해킹 사건으로 영국은 25억 달러의 손실을 입었고, 생산량은 전시 수준으로 떨어졌음
복구에는 수개월이 걸렸고, 재정적 피해는 지금도 남아 있음
우리는 여전히 총격만 공격으로 인식하지만, 인프라 파괴로 수백 명이 추위에 죽을 수도 있는 상황을 가볍게 넘기고 있음
- 그래도 개발자 급여를 절감하려고 오프쇼어링한 덕분에 연간 수백만 달러는 아꼈겠지
- 문제는 누가 공격했는지에 대한 관료적 의심임. 지금 시대에는 이런 불확실성을 최소화해야 함
우크라이나가 러시아 전력망을 상대로 사이버 공격을 하고 있을 것 같은데, 그런 소식은 거의 들리지 않음
러시아의 전력 인프라가 너무 낡아서 오히려 취약하지 않은 걸까?
- 실제로 러시아는 중요한 메시지를 타자기로 쓴 문서로 전달함. 디지털 보안 모델을 신뢰하지 않기 때문임
이런 공격이 실제로 어떻게 실행되는지 궁금함. 대부분의 네트워크가 에어갭으로 분리돼 있지 않나?
- 다른 출처에 따르면, 이번 공격은 폴란드 전역에서 발전소와 전력망 운영자 간 통신을 방해하려는 시도였다고 함
  완전한 세부 내용은 공개되지 않겠지만, 인터넷(적어도 VPN)을 통해 통신했을 가능성이 있음
  또한 완전히 에어갭된 네트워크라도, 사람이 실수로 장치를 설치하거나 사회공학으로 유도되면 뚫릴 수 있음
- 예를 들어 Stuxnet은 공급업체 네트워크에 웜을 퍼뜨려 기술자 노트북을 감염시켜 에어갭 시스템에 침투했음
“누가 이득을 보는가(Cui bono)?”라는 질문이 떠오름
- 폴란드는 우크라이나로 향하는 물류 허브이기 때문에, 에너지나 철도 인프라가 공격 대상이 되는 건 당연함
  긍정적인 면은 이런 무기급 악성코드가 사용되면 러시아의 사이버전 기술이 노출되어 방어 측이 배울 수 있다는 점임
- 러시아는 사실상 유럽과 전쟁 중임
- 러시아는 현재 우크라이나의 에너지 자산을 집중적으로 공격 중임. 우크라이나는 헝가리와 폴란드를 통해 EU에서 전력을 수입하므로, 폴란드 공급망을 방해하면 큰 타격이 됨
- 폴란드는 푸틴과 그의 측근들에게 최대의 적국으로 자주 언급됨
- 가장 명확한 답은 러시아(혹은 중국, 이란 같은 동맹국)가 폴란드의 우크라이나 지원 때문에 공격했다는 것임
이번 사건은 유럽을 향한 하이브리드 전쟁의 일환임
이번 기회에 EU가 단결해 러시아에 맞설 수 있을까?
현실은 독일과 프랑스가 자국 이익만 챙기며 연합을 약화시키고 있음.
프랑스는 30년 준비된 Mercosur 협정을 방해했고, 겉으로는 도덕적 우위를 주장하며 미국을 비판함.
결국 우리는 위선적인 연합에 불과함
- 어떤 EU를 말하는 건가? 러시아산 석유와 가스를 이름만 바꿔 계속 사들이는 EU? 아니면 러시아의 수요를 대신해 고급차를 팔아치우는 EU?
- 문제를 해결하려면 회원국의 주권을 축소해야 하지만, 특히 폴란드가 강하게 반대할 것임.
  그러나 협력 없이 가면 유럽은 러시아, 나중에는 중국에게 한 나라씩 잠식당할 것임
- 참고로 Mercosur 협정 중단은 프랑스가 아니라 폴란드의 EU 사법재판소 제소 때문임
  관련 기사: Polish MEPs spearhead move to send EU-Mercosur trade pact to Court of Justice

답변달기