러시아의 사이버 스파이 활동

러시아의 사이버 스파이 활동은 러시아 정부가 후원하는 해킹 조직이 외국 정부, 군사, 외교, 산업 분야를 대상으로 정보를 수집하는 체계적인 작전이다. 주요 조직으로 러시아 대외정보국(SVR) 산하의 APT29와 러시아 군 정보국(GRU) 산하의 APT28이 있다. 이들은 각각 블루브라보, 코지 베어, 미드나잇 블리자드(APT29)와 팬시 베어(APT28) 등의 별칭으로 알려져 있다. 활동은 2010년대 초반부터 보고되었으며, 우크라이나 전쟁 이후 서방 국가에 대한 공격이 더욱 조직화되었다.

APT29

러시아 대외정보국(SVR)에 뿌리를 둔 APT29는 클라우드 기반 인프라 침투에 특화된 조직이다. 무차별 대입 공격과 비밀번호 스프레이 공격을 결합하여 서비스 및 휴면 계정을 통해 클라우드 서비스에 무단 접근한다. 또한 토큰을 사용하여 기존 비밀번호 기반 인증을 우회하는 기법을 사용한다. 구글 계정의 애플리케이션 전용 비밀번호(App Passwords) 기능을 악용해 2단계 인증을 우회한 사례가 보고되었다.

APT28

러시아 군 정보국(GRU) 산하의 APT28은 서방의 물류 및 기술 기업을 조직적으로 표적으로 삼는다. NATO 회원국과 우크라이나의 국방, 해상·항공 교통, 운송 및 IT 서비스 인프라를 공격하며, HeadLace 및 MASEPIE 악성코드를 사용한다. 또한 IP 카메라 시스템을 광범위하게 표적으로 삼은 정황이 포착되었다.

러시아 사이버 스파이 조직은 다양한 정교한 기법을 사용한다.

• 클라우드 인프라 침투: APT29는 무차별 대입 공격과 비밀번호 스프레이 공격으로 클라우드 서비스에 침투하며, 토큰을 이용해 인증을 우회한다.
• 애플리케이션 전용 비밀번호 악용: 구글 계정의 앱 비밀번호 기능을 이용해 2단계 인증을 우회하고 장기 접근을 유지한다. 이는 2025년 4월부터 6월까지 진행된 UNC6293 캠페인에서 확인되었다.
• 장치 코드 인증 피싱: Microsoft 365의 장치 코드 인증 워크플로우를 악용한 피싱 캠페인(UNK_AcademicFlare)이 2025년 9월부터 발견되었다. 피해자는 자격 증명을 직접 입력하지 않고도 계정이 탈취된다.
• 제로데이 취약점 공격: 카스퍼스키가 발견한 '포럼트롤 작전(Operation ForumTroll)'에서는 구글 크롬의 제로데이 취약점(CVE-2025-2783)을 사용했다. 이 취약점은 크롬 샌드박스와 윈도우 사이의 논리적 오류를 악용한다.
• 사회공학 기법: 미국 국무부를 사칭한 이메일을 보내 수 주에 걸쳐 신뢰를 형성한 후 악성 링크를 클릭하도록 유도한다.

러시아 사이버 스파이 활동의 표적은 매우 광범위하다.

• 정부 및 외교: 미국 국무부를 사칭한 이메일로 학자, 정부 비판 인사, 외교 관계자를 공격했다.
• 군수 물류: 우크라이나 전쟁과 관련된 군사·인도적 지원을 방해하기 위해 NATO 회원국 및 우크라이나의 국방, 해상·항공 교통, 운송 기업을 표적으로 삼았다.
• 기술 기업: 서방의 IT 서비스 인프라와 방위산업체, 연구기관이 공격 대상이 되었다.
• 언론 및 교육: 러시아 내 미디어와 교육 기관을 대상으로 한 '포럼트롤 작전'이 발견되었다. 이는 프리마코프 리딩(Primakov Readings) 포럼을 사칭한 피싱 메일을 통해 이루어졌다.
• 싱크탱크 및 고등교육 기관: UNK_AcademicFlare 캠페인에서는 미국과 유럽의 정부 기관, 싱크탱크, 고등교육 기관, 교통 분야 조직이 표적이 되었다.

러시아의 사이버 스파이 활동에 대해 국제 사회는 공동 대응을 강화하고 있다. 2025년 5월 호주, 미국, 영국, 독일, 프랑스 등 15개국 정부 기관이 공동 경고문을 발표하여 APT28의 활동을 규탄하고 경계를 촉구했다. 구글 위협 인텔리전스 그룹(GTIG)과 캐나다 토론토대 시민연구소(Citizen Lab)는 APT29의 UNC6293 캠페인을 공개했다. 보안 기업 프루프포인트(Proofpoint)는 UNK_AcademicFlare를 추적 중이며, 카스퍼스키는 포럼트롤 작전을 분석하여 보고했다. 이러한 공동 대응은 정보 공유와 탐지 역량 강화를 목표로 한다.