19일 보안업계 전문가가 발표한 러시아 성향 핵티비스트 그룹 ‘NoName057(16)’ 분석 보고서에 따르면 지난 17일 NoName057(16)은 오후 5시경 대한민국 외교부를 비롯해 산업통상자원부, 한국토지주택공사(LH), 한국수력원자력(KHNP) 등 주요 정부 기관과 에너지 인프라를 동시다발적으로 공격했다.
핵티비스트 공격 그룹은 정치적인 목적을 갖고 사이버 공격을 하는 세력을 일컫는 말이다. 단순 기밀 정보 탈취를 위한 국가 배후 공격 세력(APT) 그룹이나 금전을 목적으로 하는 랜섬웨어(Ransomware) 공격과 달리 사이버 공격을 통해 정치적인 목적을 달성하고 사회적 혼란 등을 일으키는 것이 목적이다.
이번 공격은 NoName057(16)이 주도하는 #OpSouthKorea 캠페인의 일환으로, 한국 정부의 대(對)우크라이나 정책과 NATO 및 미·일 안보 협력 강화에 대한 러시아 측의 불만과 압박이 사이버 공간으로 투사된 것으로 분석된다.
이번 공격의 기술적 수준은 DDoSia 플랫폼을 이용한 전형적인 볼류메트릭(Volumetric) 공격으로, 현 수준의 국가 사이버 방어 역량으로 충분히 완화 가능한 수준이다.
그러나 보고서는 이번 공격이 갖는 정치적 함의는 가볍지 않다고 진단했다. 보고서를 작성한 사이버보안 전문가는 "이번 타겟팅은 무작위가 아니라 ‘정책 결정 라인(외교·산업) → 공공 서비스(LH·난방) → 국가 중추 신경망(원자력·에너지)’으로 이어지는 구조적 설계가 돋보인다"며 "이는 한국이 러시아의 ‘사이버 강압 외교’ 공식 대상군에 편입됐음을 알리는 선언과 같다"고 경고했다.
이 전문가는 "2009년 7·7 DDoS 이후 17년간 한국의 사이버 방어는 '장비 구매'와 '사후 조사' 중심으로 진화해왔다. 이제 공격자는 국가, 공격은 외교, 전장은 국민의 인식"이라며 "이번 사태를 계기로 국내 사이버 안보 생태계 전반의 재설계도 요구된다. ▲국가 사이버안보전문인력 양성 ▲사이버 보안 특화 R&D 예산 확대 ▲민간 TI 기업과의 공공 데이터 공유 등이 시급한 과제로 꼽힌다"고 밝혔다.
더 나아가 장기적으로는 '공세적 사이버 작전(Active Cyber Defense)'의 법적 근거 명문화가 시급하다는 지적이다. 이는 러시아·북한·중국이 각각 GRU, 정찰총국, MSS를 통해 상시 운용하는 공세 역량에 대칭적 억지력을 갖추기 위한 필수 조치라는 설명이다.
보고서는 "전략적으로 가장 중요한 사실은 이번 공격이 '사이버 공격이 외교 수단으로 활용되는 새로운 국제 질서'에 한국도 적용된 사례라는 점"이라며 "한국은 지금까지 주로 북한·중국발 사이버 위협에 집중해 왔으나, 러시아 그룹으로부터의 체계적 압박과 전면적 대응은 처음이다. 이는 사이버 안보 교리·조직·법제·예산 전반의 재설계를 요구한다"고 강조했다.