러시아 해커부대 APT28 존재 밝혀져…中 61398부대와 차이는?

러시아 정부가 미국 유럽 등 서방국가를 목표로 한 대규모 사이버 해킹 부대를 운영하고 있다는 주장이 제기됐다.

미국 정보보안업체 파이어아이는 28일(현지시간) 공개한 '러시아의 사이버 스파이 운영' 보고서를 통해 "러시아 정부가 연계된 해커집단 'APT 28'이 미국 국방부를 비롯해 북대서양조약기구(나토)와 유럽연합(EU) 등 미국과 유럽 정부 기관을 상대로 장기적인 해킹을 하고 있다"고 밝혔다.

파이어아이는 동일한 '디지털 유전자'를 공유하는 다수의 맞춤형 사이버 공격들을 추적한 끝에 APT28 집단의 정체를 밝혀냈다. 이들의 공격 목표와 언어, 작동 시간을 분석한 결과를 러시아 정부와 연결된 근거라고 분석했다. 파이어아이는 "이들은 정부 기관을 공격 목표로 잡고 러시아어를 사용했으며 모스크바와 상트페테르부르크 등 러시아 주요 도시의 표준 시간대를 사용했다"고 설명했다.

APT28은 '소파시(Sofacy)'라고 불리는 해킹 툴을 사용해 목표 국가의 정책 방향과 군사 능력에 정보를 빼내는 데 집중한 것으로 드러났다. 파이어아이는 "중국 사이버부대 '61398부대(APT1)'가 '경제 스파이'인 것과 달리 APT28은 철저한 '정치 스파이'"라고 봤다.

지난해 파이어아이 계열사 맨디안트를 통해 정체가 밝혀진 중국 61398부대는 항공, 우주, 에너지, 제조사 등의 지적재산권이나 영업비밀을 빼내는 것을 목표로 하고 있는 것으로 분석됐다. 보고서 공개 직후 미국 정부가 "중국군 주요 간부가 61398부대의 소속으로 밝혀졌다"며 강하게 비판하면서 양국간 '사이버 외교 갈등'이 불거진 바 있다.

파이낸설타임스(FT) 등 외신에 따르면 파이어아이 관계자는 "이들 공격의 수명이 장기적이라는 면에서 기존 그룹들의 수법과 달랐으며, 극도로 민감한 정보를 빼내기 위한 구성 요건의 프레임을 제대로 갖추고 있었다"고 말했다.

러시아 정부는 이 보고서에 대한 논평 없이 "우리는 해커를 지원하지 않는다"고만 해명했다.

황태호기자 taeho@donga.com