/

AcidRain과 IsaacWiper

우러 전쟁의 통신 시스템 파괴 전략
해킹보안멀웨어전쟁러시아우크라이나정보임베디드
avatar
한상훈
2025.05.11
·
8 min read

우러 전쟁의 통신 시스템 파괴 전략

5983

2022년 우크라이나 전쟁 발발 직후, 러시아 군사정보국(GRU)의 해킹 그룹 Sandworm은 국가적 차원의 사이버 공격을 통해 우크라이나의 핵심 인프라를 표적으로 삼았다. 과거 우크라이나 전력망 공격 등 국가 배후의 사이버 공격을 수행해 온 이들은 AcidRain과 IsaacWiper라는 대표적인 공격 도구를 사용하여 통신망과 주요 시스템을 무력화하려 했다. 이 두 멀웨어는 랜섬웨어와 달리 금전적 이익을 목적으로 하지 않으며, 오직 시스템의 데이터와 기능을 파괴하는 데 집중하여 복구가 불가능한 수준의 심각한 피해를 야기하는 것이 특징이다.

AcidRain

위성 통신 시스템을 넘어 사회 전반을 마비시킨 파괴적 공격

AcidRain은 2022년 2월 24일, 러시아의 우크라이나 침공이 시작되자마자 유럽과 우크라이나의 위성 인터넷 서비스 Viasat KA-SAT 네트워크를 마비시키는 데 사용되었다. 이 공격은 단순한 데이터 삭제를 넘어, 수천 대의 모뎀과 라우터의 펌웨어를 완전히 파괴해 장비를 벽돌 상태로 만들었다. 이는 초기 우크라이나 군 지휘 통신에 심각한 혼란을 초래했을 뿐만 아니라, 민간 영역의 인터넷 사용 불가, 관련 서비스 중단 등 광범위한 사회적, 경제적 파급 효과를 낳았다.

AcidRain은 리눅스 기반의 임베디드 시스템을 노렸으며, rm -rf /* 명령어로 저장 매체의 모든 데이터를 삭제했다. 복구를 위한 백도어나 외부 서버와의 통신 없이 단독으로 실행되어 피해를 입은 장비는 물리적인 교체 외에는 해결책이 없었다. 이 공격은 우크라이나뿐만 아니라 독일, 프랑스, 폴란드 등 유럽 여러 국가의 풍력 발전소 및 에너지 시설에도 영향을 미쳐 사이버 공격이 국경을 넘어 심각한 결과를 초래할 수 있음을 보여주었다.

IsaacWiper

은밀하게 시스템을 파괴하는 정밀 타격 도구

AcidRain이 하드웨어 수준의 광범위한 파괴를 목표로 했다면, IsaacWiper는 Windows 기반의 서버와 워크스테이션을 노려 보다 정밀하게 데이터를 삭제하는 데 사용되었다. 이 멀웨어는 2022년 2월 말 우크라이나의 정부 기관, 금융 시스템, 에너지 인프라 등을 표적으로 삼아 은밀하게 유포되었다.

5984

IsaacWiper는 파일 시스템의 구조를 의도적으로 손상시키는 방식으로 작동하며, 파일을 단순 삭제하는 것이 아니라 덮어쓰기를 반복해 데이터 복구 가능성을 원천적으로 차단한다. 랜섬웨어와 달리 금전적 요구 없이 오로지 시스템 무력화에 집중하며, 윈도우 운영체제의 프로그램 실행에 필요한 라이브러리인 악성 DLL 파일을 활용해 정상적인 프로세스에 스스로를 주입하는 방식으로 장기간 탐지를 회피했다. 특히 외부 C2(Command & Control) 서버 (공격자가 감염된 시스템을 원격으로 제어하는 데 사용되는 서버)와 통신하지 않고 독자적으로 실행되도록 설계되어 공격의 근원지를 추적하고 방어하기 더욱 어렵게 만들었다. 이는 공격자가 이미 내부 네트워크에 깊숙이 침투한 상태에서 추가적인 통신 없이도 은밀하게 공격을 감행할 수 있음을 시사한다.

현대 사이버 전쟁의 양상

AcidRain과 IsaacWiper 공격은 단순한 사이버 범죄를 넘어, 물리적 전쟁과 사이버 공격이 결합된 현대 사이버 전쟁의 새로운 전장을 보여주는 중요한 사례다. 러시아는 우크라이나 전쟁에서 물리적 파괴와 함께 사이버 공격을 병행하여 국가적 혼란을 극대화하려 했다. AcidRain은 전쟁 초기 통신 인프라를 마비시켜 우크라이나의 군사 대응 능력을 약화시키는 데 결정적인 역할을 했으며, IsaacWiper는 정부 및 주요 기관의 데이터를 파괴하여 행정 기능을 마비시키려 했다. 이는 사이버 공격이 현대전에서 전략적 목표 달성을 위한 핵심적인 수단으로 활용될 수 있으며, 그 파괴력이 전통적인 무기에 못지않음을 보여준다.

지속되는 위협

Sandworm은 AcidRain과 IsaacWiper와 같은 파괴적인 Wiper 변종을 지속적으로 개발하며 우크라이나와 서방 국가를 노리고 있다. 이는 이러한 유형의 사이버 공격이 일회성에 그치지 않고 장기적인 위협으로 지속될 수 있음을 의미한다. 따라서 이에 대비하기 위해서는 단순한 데이터 백업을 넘어선 다층적인 방어 체계 구축이 필수적이다. 중요한 인프라의 경우 오프라인 백업, 물리적 격리(Air-Gap), 실시간 모니터링 등 기술적인 방어뿐만 아니라 국제적인 공조를 강화하는 노력이 필요하다. 사이버 공간에서의 보이지 않는 전쟁은 이미 시작되었으며, 그 피해는 물리적 전쟁 못지않게 국가 안보와 사회 시스템 전반에 걸쳐 심각한 결과를 초래할 수 있다는 점을 명심해야 한다.