NotPetya 공격: 세계 최대 물류회사를 멈춘 100억 달러 사이버 테러

$ cat ./report.md

화면이 깜빡였다. 그리고 꺼졌다.

덴마크 코펜하겐, 머스크 본사 지하 1층 기술지원센터. 2017년 6월 27일 화창한 여름 오후, 직원들이 노트북을 들고 하나둘 내려왔다. 화면엔 빨간 글씨가 떠 있었다.

"파일 시스템을 복구 중입니다. 컴퓨터를 끄지 마세요."

어떤 화면엔 더 기괴한 메시지가 있었다.

"이런, 당신의 중요한 파일들이 암호화됐네요. 복구하려면 비트코인 300달러를 보내세요."

길 건너편 왕실 해도 보관소였던 하얀 석조 건물. IT 관리자 헨리크 젠센은 8만 명 직원을 위한 소프트웨어 업데이트를 준비하고 있었다. 갑자기 컴퓨터가 재시작됐다.

"또 본사에서 멋대로 재부팅시켰나?"

젠센이 고개를 들었을 때, 믿을 수 없는 광경이 펼쳐졌다.

사무실 모든 컴퓨터 화면이 차례로 꺼져갔다. 검은색, 검은색, 검은색. 마치 도미노가 쓰러지듯.

"검은색, 검은색, 검은색, 검은색..."

젠센의 증언이다. 재시작해도 같은 검은 화면만 떴다. 컴퓨터들이 완전히 죽어버린 것이다.

30분 후, 패닉의 시작

머스크 본사 전체가 아수라장이 됐다. 직원들이 복도를 뛰어다니며 소리쳤다.

"컴퓨터 끄세요! 지금 당장!" "네트워크에서 분리하세요!"

회의 중인 회의실에 뛰어들어가 컴퓨터 플러그를 뽑는 직원들. 카드키 시스템까지 마비되자, 문을 뛰어넘어 다른 구역으로 경고를 전하는 사람들.

전 세계 네트워크를 차단하는 데만 2시간이 걸렸다. 모든 직원에게 명령이 떨어졌다.

"컴퓨터를 끄고 책상에 그대로 두고 퇴근하세요."

디지털 전화기도 먹통이었다. IT 직원들조차 손쓸 방법이 없었다.

오후 3시, 한 임원이 젠센의 사무실로 걸어왔다.

"집에 가세요. 언제 복구될지 모르겠습니다."

젠센은 따뜻한 6월 오후 햇살 속으로 걸어 나왔다. 언제 다시 출근할 수 있을지 전혀 모른 채로.

세계 해운 물동량의 5분의 1을 담당하는 거대한 물류 제국이 완전히 멈춰선 순간이었다.

2,400km 떨어진 우크라이나에서

같은 시각, 우크라이나 키예프. 트렌디한 포딜 지구 외곽, 고속도로 고가 아래 철로 건너편에 링코스 그룹 본사가 있었다. 4층짜리 회색 건물이었다.

여기서도 똑같은 일이 벌어지고 있었다. 아니, 훨씬 더 심각했다.

우크라이나 전역의 기업들이 동시에 마비됐다. 은행, 공항, 지하철, 전력회사, 심지어 체르노빌 원전의 방사능 모니터링 시스템까지.

그런데 이상한 점이 있었다.

피해를 입은 기업들에는 공통점이 있었다. 모두 'M.E.Doc'라는 회계 프로그램을 사용하고 있었다는 것이다. 전형적인 공급망 공격이었다.

M.E.Doc는 우크라이나에서 세금 신고용으로 의무 사용해야 하는 소프트웨어였다. 우크라이나 기업 중 90% 이상이 사용하는 필수 프로그램이었다.

300달러짜리 함정

화면에 뜬 메시지를 다시 보자.

"비트코인 300달러를 보내면 파일을 복구해드립니다."

전형적인 랜섬웨어처럼 보였다. 하지만 보안 전문가들이 코드를 분석하면서 소름 끼치는 사실을 발견했다.

돈을 보내도 파일이 복구되지 않았다.

더 정확히 말하면, 애초에 복구할 생각이 없었다. 랜섬웨어는 보통 파일을 암호화한 뒤 복호화 키를 어딘가에 보관해둔다. 돈을 받으면 그 키를 주는 식이다.

그런데 이 악성코드는 달랐다. 복호화 키 자체를 아예 만들지 않았다. 파일을 암호화하는 척하면서 사실은 완전히 파괴해버렸다.

300달러는 미끼였다. 이건 돈을 노린 범죄가 아니었다.

물결처럼 번져간 파괴

6월 27일 오후, 우크라이나에서 시작된 이 악성코드는 순식간에 전 세계로 퍼져나갔다.

러시아 국영 석유회사 로스네프트의 2만 대 컴퓨터가 일시에 마비됐다. 영국 광고 대기업 WPP도 전 세계 사무실에서 동시에 시스템이 다운됐다.

프랑스 생고뱅, SNCF 철도공사. 미국 제약회사 머크. 아르헨티나 로사리오 항구까지.

하지만 가장 큰 피해를 입은 건 머스크였다.

전 세계 130개국 574개 사무소가 동시에 마비됐다. 바다 위를 떠다니는 800척의 화물선들이 어디로 가야 할지 몰라 갈팡질팡했다. 항구에서는 수만 개의 컨테이너가 어디서 왔는지, 어디로 가야 하는지 알 수 없게 됐다.

머스크는 복구하는 데만 10일이 걸렸다. 손실액은 3억 달러를 넘어섰다.

해커의 진짜 목표

그렇다면 이 모든 파괴의 목적은 무엇이었을까?

답은 우크라이나에 있었다. 이 악성코드의 진짜 이름은 'NotPetya'였다. 러시아 군 정보기관 GRU 산하 해킹 그룹 '샌드웜'의 작품이었다.

목표는 간단했다. 우크라이나 경제를 마비시키는 것.

M.E.Doc를 통해 우크라이나 기업들을 일망타진하려던 계획이었다. 하지만 악성코드는 인터넷을 통해 국경을 넘나들며 전 세계로 퍼져나갔다.

샌드웜은 6개월 동안 M.E.Doc 서버에 숨어있었다. 회계 프로그램 업데이트를 가장해 악성코드를 심어둔 뒤, 적절한 타이밍에 전 세계로 배포한 것이다.

2017년 6월 27일은 우크라이나의 '헌법의 날' 공휴일이었다. 의미심장한 날짜 선택이었다.

역사상 최악의 사이버 공격

NotPetya는 역사상 가장 파괴적인 사이버 공격으로 기록됐다. 전 세계 피해액은 100억 달러를 넘어섰다.

2018년, 미국을 비롯한 서방 국가들은 공식적으로 러시아를 배후로 지목했다. 하지만 러시아는 부인했다.

머스크는 이 사건 이후 완전히 달라졌다. 모든 시스템을 처음부터 다시 구축해야 했다. 백업 서버마저 감염됐기 때문이다.

그런데 머스크가 복구할 수 있었던 건 순전히 행운 덕분이었다. 가나 아크라에 있는 도메인 컨트롤러 하나가 정전으로 꺼져 있었던 것이다. 그 서버만이 감염을 피할 수 있었고, 덕분에 전체 네트워크를 복구할 수 있었다.

에필로그: 당신의 회사는 안전한가

2024년 현재, NotPetya 같은 공격은 더 이상 특별한 일이 아니다.

작년 한 해에만 국내 기업 1,200여 곳이 랜섬웨어 공격을 당했다. SK텔레콤 유심 해킹처럼 APT 그룹의 장기 잠복도 현실이다. 대부분은 돈을 노린 범죄자들의 소행이다. 하지만 일부는 NotPetya처럼 완전한 파괴를 목적으로 한다. 한국도 3.20 사이버테러에서 같은 유형의 파괴형 공격을 경험했다.

당신이 지금 사용하는 회계 프로그램, ERP 시스템, 심지어 업무용 메신저까지. 모든 소프트웨어가 해커들의 침투 경로가 될 수 있다.

M.E.Doc처럼 '필수 프로그램'일수록 더 위험하다. 모두가 사용하기 때문이다. 1.25 인터넷 대란에서 SQL 서버가, 3.20 테러에서 백신 업데이트 서버가 같은 약점이 됐다.

2017년 6월 27일, 코펜하겐의 화창한 오후. 젠센이 걸어 나온 머스크 본사 앞 항구에는 덴마크 왕실의 요트가 평온하게 떠 있었다.

하지만 바다 저편 어딘가에서는 누군가가 다음 공격을 준비하고 있었을 것이다. 지금도 마찬가지다.

당신의 컴퓨터 화면이 갑자기 깜빡인다면?

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 시나리오는 이해를 돕기 위해 각색되었습니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.