DynoWiper Malware
2025년 12월 마지막 주, 러시아 국가 해킹 그룹으로 널리 알려진 '샌드웜'이 폴란드 전력 시스템을 대상으로 사상 최대 규모의 사이버 공격을 감행한 것으로 알려졌습니다. 연말에 발생한 이 사건은 폴란드 당국에 의해 수년간 국가 에너지 인프라에 대한 가장 강력한 공격으로 공식 인정되었습니다.
작전의 규모와 정교함에도 불구하고 공격은 실패로 끝났습니다. 폴란드 에너지부 장관 밀로시 모티카는 전력 공급에 차질이 없었다고 확인했습니다.
목차
핵심 기반 시설이 디지털 신호 직격탄을 맞고 있다
2025년 12월 29일과 30일에 탐지된 이 공격은 열병합 발전소(CHP) 두 곳과 풍력 터빈 및 태양광 발전소를 포함한 재생 에너지원에서 생산된 전력을 관리하는 시스템을 겨냥한 것이었습니다. 군 사이버 부대는 이 활동을 최근 폴란드 에너지 인프라를 대상으로 한 가장 강력한 사이버 공격으로 규정했습니다.
해당 사건을 분석한 연구원들은 사보타주 시도가 작전에 어떠한 영향도 미치지 못했다는 증거를 발견했다고 보고했습니다.
다이노와이퍼, 새로운 파괴 도구로 등장
정보 보안 전문가들이 최근 발표한 보고서에 따르면, 이번 공격에는 DynoWiper라는, Win32/KillFiles.NMO로도 추적되는, 이전에는 기록되지 않았던 와이퍼 멀웨어가 연루된 것으로 나타났습니다. 샌드웜 소행으로 추정되는 이유는 동일한 공격 주체와 연관된 이전의 파괴적인 공격들, 특히 2022년 2월 러시아의 우크라이나 전면 침공 이후에 발생한 공격들과 기술적, 행동적 유사성이 있기 때문입니다.
해당 와이퍼는 폴란드의 에너지 부문을 마비시키려는 조직적인 시도의 일환으로 배치되었으며, 이는 위협 행위자가 기반 시설 파괴를 위해 특별히 제작된 도구에 지속적으로 투자하고 있음을 시사합니다.
정부 대응 및 규제 대책
폴란드 당국은 모든 정황이 러시아 서비스와 직접적으로 연관된 집단을 가리킨다고 밝혔습니다. 이에 대응하여 정부는 핵심 사이버 보안 법안을 강화하는 등 추가적인 안전장치를 마련하고 있습니다. 계획된 조치들은 위험 관리, 정보 기술(IT) 및 운영 기술(OT) 시스템 보호, 그리고 중요 서비스에 영향을 미치는 사이버 사고 대응에 대한 더욱 엄격한 요건을 부과할 것으로 예상됩니다.
역사적 의미를 지닌 상징적인 날짜
이번 공격의 시기는 특히 중요한 의미를 지녔습니다. 폴란드 전력망 침입 시도는 2015년 12월 샌드웜이 우크라이나 전력망을 공격한 역사적인 사건 10주년과 맞물렸습니다. 당시 샌드웜은 블랙에너지 악성코드를 이용해 킬디스크(KillDisk)라는 파괴적인 구성 요소를 배포하여 4~6시간 동안 정전을 일으켜 이바노프란키우스크 지역 주민 약 23만 명에게 전력 공급 중단 피해를 입혔습니다.
10년간 지속된 끊임없는 변화
샌드웜은 특히 우크라이나에서 주요 기반 시설을 표적으로 삼아 온 오랜 전적을 가지고 있습니다. 2015년 대규모 정전 사태 이후 10년이 지난 지금도 이 단체는 여러 분야에 걸쳐 파괴적인 목표를 추구하고 있습니다.
2025년 6월, 연구원들은 우크라이나의 주요 기반 시설 기관이 이전에는 볼 수 없었던 데이터 삭제 악성코드인 PathWiper의 공격을 받았다고 밝혔습니다. 이 악성코드는 Sandworm과 연관된 또 다른 도구인 HermeticWiper와 기능적으로 유사한 것으로 나타났습니다. 같은 해, 해당 그룹은 우크라이나 대학 네트워크에 ZEROLOT 및 Sting을 포함한 추가적인 파괴적인 악성코드 계열을 배포한 것으로 확인되었으며, 2025년 6월부터 9월 사이에는 우크라이나 정부, 에너지, 물류 및 곡물 부문 기관을 대상으로 광범위한 데이터 삭제 공격을 감행했습니다.
에너지 부문 방어에 대한 전략적 함의
폴란드의 전력 시스템에 대한 침입 시도는 샌드웜이 물리적 현실에 영향을 미칠 수 있는 사이버 공격에 여전히 집중하고 있음을 보여줍니다. 다이노와이퍼(DynoWiper)를 비롯한 다양한 와이퍼 악성코드의 등장은 파괴적인 멀웨어의 지속적인 진화를 시사하며, 에너지 공급업체가 IT 및 OT 환경 전반에 걸쳐 복원력, 모니터링 및 통합 대응 체계를 강화해야 할 필요성을 강조합니다.
