파이어아이 "우크라이나 랜섬웨어 공격, 러시아 배후 추정"

[아이뉴스24 성지은기자] 미국 사이버보안 업체 파이어아이가 우크라이나를 겨냥한 랜섬웨어 공격 배후에 러시아 정부가 있음을 시사했다.

파이어아이는 우크라이나 경찰청을 도와 지난 6월 말 발생한 이너털페트야(EternalPetya) 랜섬웨어 공격을 조사하고 있으며, 러시아 정부가 배후에 있는 것으로 추정되는 해커 조직이 공격을 단행했을 가능성이 높다고 25일 발표했다.

존 헐트퀴스트 파이어아이 사이버 스파이 분석 총괄은 "이터널페트야 초기 분석에 따르면, 이번 공격은 러시아 기반의 공격 조직인 샌드웜(Sandworm)팀이 수행한 다른 사이버 공격들과 상당히 유사한 것으로 나타났다"고 말했다.

이어 "샌드웜은 과거에도 우크라이나를 대상으로 공격을 감행한 적이 있으며, 특히 2015년 12월과 2016년 12월 발생한 대규모 정전사태도 이들에 의한 것으로 알려져 있다"며 "러시아 정부가 이 조직의 배후에 있다고 본다"고 덧붙였다.

지난달 말 발생한 이터널페트야 공격은 기업, 공항, 정부 기관 등 우크라이나의 많은 조직에 피해를 입혔다. 실제 우크라이나 기간산업부 등 주요 정부기관, 키예프 보리스필 국제공항 등이 랜섬웨어에 감염돼 시스템이 마비됐다. 우크라이나와 관련된 일부 다국적 기업들도 운영에 적지 않은 장애를 겪었다.

이에 우크라이나 경찰청은 사이버 공격에 대해 조사할 필요성을 느꼈으며, 파이어아이는 지능형 사이버 공격 방어 기술 선도업체로서 조사를 지원하게 됐다.

세르게이 존 우크라이나 경찰청 사이버 경찰부문 책임자는 "공격자가 상응하는 대가를 치르도록 하려면 공격에 대해 최대한 많은 것을 알아낼 필요가 있었다"며 "이에 따라 포렌식 조사와 인텔리전스 평가에 대한 전문지식을 보유하고 있는 파이어아이에 지원을 요청하게 됐다"고 말했다.

한편, 파이어아이는 현재 서버와 워크스테이션에 대한 포렌식 검사를 수행하고 있으며, 초기 감염 매개체를 확인해 줄 증거와 이들 장비들의 멀웨어 확산 방식을 확인하고 있다. 또 인텔리전스 확보를 위해 이 장비들의 윈도 시스템 이력 정보인 텔레메트리(Telemetry) 데이터를 검토 중이다.