>
연구(Insikt)

러시아가 우크라이나를 상대로 일으킨 전쟁, 사이버 범죄 생태계를 교란하다

게시일: 2023년 2월 24일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

Executive Summary

러시아와 우크라이나의 전쟁으로 사이버 범죄 생태계가 혼란에 빠졌습니다. 2022년 2월 24일, 러시아는 우크라이나에 대한 전면적인 침공을 시작했습니다. 최근 레코디드 퓨처의 보고서 "러시아 대 우크라이나 전쟁의 주제와 실패"에 요약된 바와 같이, 러시아는 "전략적, 전술적 실패가 복합적으로 발생했음에도 불구하고" 키예프를 점령하고 우크라이나 정부를 해체하며 결정적인 군사적 승리를 확보하려는 의도를 여전히 가지고 있을 가능성이 높습니다. 러시아의 공격적인 사이버 작전은 "러시아의 재래식 군사력을 실질적으로 증강시키지 못했으며", "다가오는 새로운 공격을 앞두고 우크라이나의 사기를 떨어뜨리기 위해" 민간 인프라를 겨냥하는 방향으로 전환할 가능성이 높습니다. 러시아는 그럴듯한 부인력을 유지하면서 우크라이나에서 목표를 달성하기 위해 대리 그룹을 활용하는 데 계속 의존하고 있으며, "다크 언약 2.0" 보고서에서 설명한 대로 러시아가 사이버 범죄 및 핵티비스트 그룹과 직간접적, 암묵적 관계를 맺고 있다는 사실이 러시아 정보국(RIS)과 비국가 행위자 간의 연관성을 더욱 밝히고 있습니다:사이버 범죄, 러시아 국가, 우크라이나 전쟁" 보고서에 설명된 바와 같이 러시아는 사이버 범죄와 핵티비스트 그룹과 암묵적인 관계를 맺고 있습니다.

독립국가연합(CIS)에 위치한 러시아어를 사용하는 위협 행위자들의 소위 '형제애'는 전쟁의 맥락에서 위협 행위자들 간의 정치적 의견 불일치로 인해 손상되었습니다. 이러한 피해는 계속되는 내부자 유출로 인해 내부 불안정성의 새로운 표준으로 자리 잡았습니다. 또한 러시아가 IT 전문가의 '두뇌 유출 '을 경험함에 따라 현재 분열되어 있는 조직화된 사이버 범죄 카르텔은 지리적으로 더욱 분산되어 그 관계가 더욱 확산될 가능성이 높습니다.

2000년대 후반에 국한되었던 국제적 현상인 '크라우드소싱 핵티비즘'의 부활은 정치적, 재정적 동기를 가진 새로운 세대의 비국가 위협 행위자를 만들어낼 가능성이 높습니다. 이른바 핵티비스트 그룹은 그 영향력은 제한적이었지만, 우크라이나 전쟁과 병행하여 벌어지고 있는 '사이버 전쟁 '에 대한 대중의 인식에서 상징적인 존재가 되었습니다.

우크라이나 전쟁의 경제적 결과는 2022년 전반적인 카드 사용량 감소에도 불구하고 다크웹에서 결제 카드 사기의 가치를 높이는 데 도움이 되는 환경을 조성할 가능성이 높습니다. 정교하지 않은 형태의 사이버 범죄라는 사기의 명성에도 불구하고, 사기는 생존을 위한 범죄라기보다는 기회의 범죄가 될 가능성이 높습니다. 국제적인 체포, 압수, 파괴적인 행동은 상품화된 사이버 범죄와 관련된 비즈니스 모델을 불안정하게 만들었으며, 멀웨어 및 랜섬웨어 서비스형(MaaS, RaaS) 위협 환경에 광범위하고 파급력 있는 영향을 미치고 있습니다. 이러한 혼란은 다크웹 상점과 마켓플레이스 생태계로 확산되어 가격 변동과 시장 관리자들 간의 새로운 경쟁으로 이어졌습니다. 러시아와 우크라이나의 전쟁으로 인해 CIS와 전 세계의 사이버 범죄는 새로운 변동성의 시대로 접어들고 있습니다.

Key Takeaways

  • 러시아와 우크라이나의 전쟁 이전에 인증정보 유출과 직접적인 연관성은 확인되지 않았지만, 전쟁 이전에 지정학적 긴장을 악용하려는 위협 행위자들이 이러한 인증정보 유출을 활용했을 수 있다고 생각합니다. 또한 저희가 확인한 데이터베이스 침해 중 일부는 국가적 행위자의 소행으로 밝혀졌습니다.
  • 러시아와 우크라이나의 전쟁을 지지하거나 반대하는 국가적 충성 선언으로 인해 내부자 유출과 집단 분열로 인해 CIS에 위치한 러시아어를 사용하는 위협 행위자들의 소위 '형제애'가 피해를 입었습니다.
  • 러시아는 조직화된 사이버 범죄 위협 환경을 분산시킬 수 있는 IT '두뇌 유출'의 물결을 경험하고 있습니다. 두뇌 유출 외에도 러시아 시민들의 군사 동원으로 인해 러시아어로 된 다크 웹과 특수 액세스 포럼의 활동이 감소하고 있습니다.
  • '크라우드소싱 핵티비즘'의 부활로 인해 새로운 세대의 비국가 위협 행위자들이 생겨날 가능성이 높습니다. 핵티비즘의 영향은 제한적이지만 정보 작전(IO)을 가능하게 하는 데 있어 핵티비즘의 역할은 여전히 중요합니다. 핵티비즘은 러시아와 우크라이나의 전쟁과 동시에 벌어지고 있는 '사이버 전쟁'에 대한 대중의 인식에서 상징적인 존재가 되었습니다.
  • 러시아 사법 당국이 2022년 1월과 2월에 여러 상위 카드 가맹점을 압수하고 폐쇄하면서 2022년 4월까지 결제 카드 사기 생태계가 심각하게 혼란을 겪었습니다. 2022년 5월부터 새로운 카딩 상점의 등장으로 인해 다크웹에 판매용으로 게시된 유출된 카드 미발급(CNP) 데이터의 양이 부분적으로 반등했습니다.
  • 국제적인 체포, 압수수색, 방해 행위로 인해 상품화된 사이버 범죄와 관련된 비즈니스 모델이 불안정해졌습니다.
  • 러시아와 우크라이나의 전쟁으로 인해 다크웹 상점과 마켓플레이스 생태계가 혼란에 빠졌습니다. 국제 공급망 중단과 국경 폐쇄로 인해 러시아에 기반을 둔 위협 행위자들은 '물리적' 밀수품을 운송하는 것이 불가능해졌습니다.

배경

2022년 2월 24일, 러시아는 지상 및 공중 폭격, 지대지 및 지대공 미사일, 사이버 공격, 전자전, 정보전 등의 지원을 받아 우크라이나에 대한 본격적인 침공을 시작했습니다. 거의 즉시 러시아 사이버 범죄 조직은 포럼 관리자, 위협 행위자 및 위협 행위자 조직으로부터 충성 선언을 받아 대응했습니다. 핵티비스트 캠페인, 조직적인 분산 서비스 거부(DDoS) 공격, '독싱' 활동, 트롤링, 웹사이트 훼손, 랜섬웨어 감염 등이 침입 후 몇 시간 내에 시작되었습니다.

러시아와 우크라이나의 전쟁 초기에 비국가 사이버 범죄 및 핵티비스트 활동의 대부분은 침략에 대한 보복으로 러시아와 벨라루스 단체를 표적으로 삼았지만, 기회주의적 위협 행위자들은 러시아, 벨라루스, 우크라이나 단체의 사이버 인프라의 취약점을 활용하고 유출된 정보를 판매하거나 무단 액세스를 통해 금전적 이득과 홍보를 위해 긴장을 악용하려고 했습니다. 또한 충성 선언은 특정 위협 행위자 조직 내부의 불안을 촉발하여 위협 행위자 간의 적대적 활동과 분열로 이어졌습니다.

저희는 2022년 2월 24일부터 러시아와 우크라이나의 전쟁에 직간접적으로 연루된 사이버 범죄 및 비국가 핵티비스트 단체의 일상 활동을 적극적으로 모니터링하고 있습니다.

관련