러시아의 사이버 스파이 활동은 러시아 대외정보국(SVR)과 군 정보국(GRU) 산하의 해킹 조직이 주도하는 국가 차원의 정보 수집 작전이다. 주요 조직인 APT29와 APT28은 클라우드 인프라 침투, 제로데이 취약점 악용, 정교한 피싱 기법을 사용하여 전 세계 정부, 군사, 물류 및 연구 기관을 공격한다. 특히 우크라이나 전쟁 이후 서방 국가와 나토(NATO)를 겨냥한 사이버 혼합전 양상을 띠며 국제 안보의 주요 위협으로 부상했다.

배너 광고

개요

러시아의 사이버 스파이 활동은 국가 기반의 고도로 조직화된 위협으로, '사이버 마트료시카'로 불릴 만큼 다층적인 구조를 가진다. 러시아 정부는 2010년대부터 국가 차원의 지원을 통해 민간 사이버 범죄 조직 및 애국 해커들과 협력하며 외교, 군사, 산업 분야의 정보를 수집해 왔다. 특히 우크라이나 침공 이후에는 군사 및 물류 인프라를 겨냥한 사이버 혼합전을 전개하며 공격의 강도를 높이고 있다.

주요 활동 조직

러시아의 사이버 작전은 주로 정보기관 산하의 APT(지능형 지속 위협) 그룹들이 수행한다.

  • APT29 (Cozy Bear, Midnight Blizzard): 러시아 대외정보국(SVR)과 연계된 조직으로, 클라우드 기반 인프라 침투에 특화되어 있다. 적응력이 뛰어나며 온프레미스 네트워크에서 클라우드 환경으로 공격 대상을 전환하는 전략적 유연성을 보인다.
  • APT28 (Fancy Bear, Pawn Storm): 러시아 군 정보국(GRU) 산하 조직으로, 서방의 국방, 물류, 기술 기업을 주로 공격한다. 최근에는 우크라이나와 나토 지원국을 대상으로 한 '프리즘엑스(PRISMEX)' 작전을 주도한 것으로 알려져 있다.
  • Sandworm: GRU 소속으로 주로 파괴적인 사이버 공격과 에너지 인프라 타격에 집중한다.

공격 기법 및 전술

러시아 해킹 조직은 탐지를 회피하고 접근 권한을 유지하기 위해 정교한 기술을 사용한다.

클라우드 및 인증 우회

APT29는 무차별 대입 공격(Brute Force)과 비밀번호 스프레이 공격을 결합하여 클라우드 서비스에 접근한다. 특히 토큰을 사용하여 기존의 비밀번호 기반 인증을 우회하거나, 구글 계정의 애플리케이션 전용 비밀번호 기능을 악용해 2단계 인증(MFA)을 무력화한다.

악성코드 및 취약점 활용

APT28은 이미지 파일 내에 악성코드를 숨기는 스테가노그래피 기법과 윈도우의 컴포넌트 오브젝트 모델(COM)을 악용하여 시스템에 잔류한다. 또한 CVE-2026-21509, CVE-2026-21513과 같은 최신 취약점을 패치 배포 전후로 신속하게 공격에 활용한다.

사회공학 및 제로데이

미국 국무부 등 공신력 있는 기관을 사칭한 피싱 이메일을 통해 신뢰를 구축한 뒤 악성 링크 클릭을 유도한다. '포럼트롤 작전(Operation ForumTroll)'에서는 구글 크롬의 제로데이 취약점(CVE20252783CVE-2025-2783)을 사용하여 브라우저 샌드박스를 우회하기도 했다.

주요 표적 및 사례

러시아의 사이버 스파이 활동은 우크라이나 전쟁과 관련된 서방의 지원 체계를 방해하는 데 집중되어 있다.

표적 분야주요 공격 사례 및 내용
정부 및 외교미국 국무부 사칭 피싱, 외교 관계자 및 정부 비판 인사 정보 탈취
물류 및 운송폴란드 철도 물류, 루마니아·튀르키예 해운, 슬로바키아 탄약 지원 체계 공격
국방 및 나토나토 회원국의 국방 인프라 및 긴급 대응 조직 침투
학술 및 언론싱크탱크, 고등교육 기관, 미디어 대상의 'UNK_AcademicFlare' 캠페인
인프라우크라이나의 기상·수문 기관 및 중앙행정부 전산망 공격

국제 사회의 대응

러시아의 위협에 대응하기 위해 국제적인 공조가 강화되고 있다. 2025년 5월, 미국, 영국, 호주, 독일, 프랑스 등 15개국 정부 기관은 APT28의 활동에 대한 공동 경고문을 발표했다. 영국은 국방 전략의 일환으로 대규모 예산을 투입해 사이버·전자전사령부를 창설했으며, 구글 위협 인텔리전스 그룹과 같은 민간 보안 기업들도 실시간 모니터링과 분석 보고서를 통해 대응 역량을 높이고 있다.

참고 자료

5
The Russia-Ukraine Cyber War Part 4: Development in Group Attributions for Russian State ActorsThe Russia-Ukraine Cyber War Part 4: Development in Group Attributions for Russian State Actors LevelBlue Completes Acquisition of Trustwave to Form the World's Largest Pure-Play…https://trustwave.com/en-us/resources/blogs/spiderlabs-blog/russian-state-actors-development-in-group-attributions러시아 정부 후원 APT29 공격그룹, 클라우드 기반 인프라 침투 공격에 집중 < 해외 < 이슈 < 기사본문 - 데일리시큐러시아 정부 후원 APT29 공격그룹, 클라우드 기반 인프라 침투 공격에 집중 < 해외 < 이슈 < 기사본문 - 데일리시큐 발행일: 2026-05-04 18:30 (월) 이전 기사보기 다음 기사보기 러시아 정부 후원 APT29 공격그룹, 클라우드 기반 인프라 침투 공격에 집중 가 가 기사의 본문 내용은 이 글자크기로 변…https://www.dailysecu.com/news/articleView.html?idxno=153934러시아 해킹조직 APT28, ‘프리즘엑스(PRISMEX)’로 우크라이나·나토 지원망 침투…제로데이·스테가노그래피 결합 공격 확인 < 해외 < 이슈 < 기사본문 - 데일리시큐러시아 해킹조직 APT28, ‘프리즘엑스(PRISMEX)’로 우크라이나·나토 지원망 침투…제로데이·스테가노그래피 결합 공격 확인 < 해외 < 이슈 < 기사본문 - 데일리시큐 발행일: 2026-05-04 18:30 (월) 이전 기사보기 다음 기사보기 러시아 해킹조직 APT28, ‘프리즘엑스(PRISMEX)’로 우크라이나·…https://www.dailysecu.com/news/articleView.html?idxno=206146blackpointcyber.comAPT29 THREAT PROFILE: ExecutiveSummary 2 Description 3 PreviousTargets: APT29 Previous IndustryTargets PreviousVictimHQRegions 4 KnownOperations: APT29 6 KnownCounterOperations: A…https://blackpointcyber.com/wp-content/uploads/2024/06/Threat-Profile-APT29_Blackpoint-Adversary-Pursuit-Group-APG_2024.pdf?씨큐비스타, 러시아·중국 등 사이버전 대비 '국가 배후 해킹 분석보고서' 발표 < 이슈 < 기사본문 - 데일리시큐씨큐비스타, 러시아·중국 등 사이버전 대비 '국가 배후 해킹 분석보고서' 발표 < 이슈 < 기사본문 - 데일리시큐 발행일: 2026-05-04 18:30 (월) 이전 기사보기 다음 기사보기 씨큐비스타, 러시아·중국 등 사이버전 대비 '국가 배후 해킹 분석보고서' 발표 가 가 기사의 본문 내용은 이 글자크기로 변경됩니다.…http://www.dailysecu.com/news/articleView.html?idxno=166808

관련 문서

지능형 지속 위협사이버 전쟁우크라이나 전쟁제로데이 취약점