폴란드 전력망을 노린 전례 없는 와이퍼 악성코드 공격

• 폴란드의 전력망이 러시아와 연계된 것으로 추정되는 새로운 와이퍼 악성코드(DynoWiper) 공격을 받았으나, 전력 공급에는 차질이 발생하지 않음
• 공격은 2025년 12월 말에 발생했으며, 재생에너지 설비와 배전 운영자 간 통신을 방해하려는 시도로 보고됨
• 보안업체 ESET은 이 악성코드가 데이터를 영구 삭제하는 파괴형 와이퍼로, 러시아 정부 해킹조직 Sandworm의 전술·기법과 유사하다고 분석
• 이번 공격은 2015년 우크라이나 전력망 해킹 10주년에 맞춰 이뤄졌으며, 당시 사건은 약 23만 명이 6시간 동안 정전 피해를 입은 것으로 알려짐
• DynoWiper는 실제 전력 차단에는 실패했으나, 러시아의 사이버 공격 능력과 유럽 에너지 인프라의 취약성을 다시 부각시킨 사건임

폴란드 전력망을 겨냥한 와이퍼 악성코드 공격

• 연구자들은 폴란드의 전력망이 와이퍼 악성코드 공격 대상이 되었으며, 이는 러시아 국가 해커가 배포했을 가능성이 높다고 밝힘
  • 공격은 전력 공급 운영을 방해하려는 시도로 분석됨
  • Reuters는 12월 마지막 주에 사이버 공격이 발생했으며, 재생에너지 설비와 배전 운영자 간 통신을 교란하려 했으나 실패했다고 보도
• 공격에 사용된 악성코드는 DynoWiper로 명명되었으며, 서버의 코드와 데이터를 영구 삭제해 운영을 완전히 마비시키는 목적을 가짐
• ESET은 공격의 전술·기법(TTP)을 분석한 결과, Sandworm APT의 이전 활동과 강한 유사성이 있다고 밝혔으며, 중간 수준의 확신(medium confidence) 으로 Sandworm의 소행으로 판단

Sandworm의 과거 공격 사례

• Sandworm은 크렘린의 지원을 받는 것으로 알려진 해킹 조직으로, 여러 차례 파괴적 사이버 공격을 수행해 온 전력이 있음
  • 2015년 12월 우크라이나 전력망 공격으로 약 23만 명이 6시간 동안 정전을 겪었으며, 이는 악성코드로 인한 최초의 정전 사건으로 기록됨
  • 당시 사용된 BlackEnergy 악성코드는 SCADA 시스템에 침투해 합법적 기능을 이용해 전력 배급을 중단시킴
• ESET은 이번 폴란드 공격이 그 사건의 10주년에 맞춰 발생했다고 언급
• 러시아 해커들은 과거에도 맞춤형 와이퍼 악성코드를 지속적으로 사용해 왔음
  • 2022년에는 AcidRain 와이퍼로 우크라이나의 27만 개 위성 모뎀을 마비시킴
  • 2025년에는 대학과 주요 인프라를 대상으로 여러 와이퍼를 배포한 사례가 보고됨

NotPetya와 러시아의 와이퍼 사용 역사

• 러시아의 와이퍼 사용 중 가장 유명한 사례는 2017년 NotPetya 사건으로, 원래는 우크라이나를 겨냥했으나 전 세계로 확산됨
  • 이 공격은 전 세계 정부와 기업에 약 100억 달러의 피해를 초래
  • NotPetya는 역사상 가장 비용이 큰 사이버 침입 사건으로 평가됨

DynoWiper의 실패 원인

• DynoWiper가 전력 차단에 실패한 이유는 명확히 밝혀지지 않음
  • 기사에서는 두 가지 가능성을 언급
    • 러시아가 폴란드 동맹국의 직접적 대응을 피하기 위해 제한적 공격을 의도했을 가능성
    • 또는 사이버 방어 체계가 악성코드의 작동을 차단했을 가능성
• 공격의 구체적 기술적 세부 사항이나 피해 규모에 대한 추가 정보는 공개되지 않음

사건의 의미

• 이번 사건은 러시아의 사이버 공격 역량이 여전히 활발히 작동 중임을 보여줌
• 동시에 유럽 에너지 인프라의 보안 강화 필요성을 다시 부각시키는 계기가 됨
• DynoWiper는 새로운 형태의 와이퍼 악성코드로, 향후 유사 공격에 대비한 보안 연구 및 방어 체계 강화가 요구됨