2017년, 우크라이나 세금 소프트웨어 업데이트 1개가 130개국 기업을 동시에 마비시켰다. 100억 달러 피해를 낸 NotPetya의 전말.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
화면이 깜빡였다. 그리고 꺼졌다.
덴마크 코펜하겐, 머스크 본사 지하 1층 기술지원센터. 2017년 6월 27일 화창한 여름 오후, 직원들이 노트북을 들고 하나둘 내려왔다. 화면엔 빨간 글씨가 떠 있었다.
"파일 시스템을 복구 중이다. 컴퓨터를 끄지 마세요."
어떤 화면엔 더 기괴한 메시지가 있었다.
"이런, 당신의 중요한 파일들이 암호화됐네요. 복구하려면 비트코인 300달러를 보내세요."
길 건너편 왕실 해도 보관소였던 하얀 석조 건물. IT 관리자 헨리크 젠센은 8만 명 직원을 위한 소프트웨어 업데이트를 준비하고 있었다. 갑자기 컴퓨터가 재시작됐다.
"또 본사에서 멋대로 재부팅시켰나?"
젠센이 고개를 들었을 때, 믿을 수 없는 광경이 펼쳐졌다.
사무실 모든 컴퓨터 화면이 차례로 꺼져갔다. 검은색, 검은색, 검은색. 마치 도미노가 쓰러지듯.
"검은색, 검은색, 검은색, 검은색..."
젠센의 증언이다. 재시작해도 같은 검은 화면만 떴다. 컴퓨터들이 완전히 죽어버린 것이다.
머스크 본사 전체가 아수라장이 됐다. 직원들이 복도를 뛰어다니며 소리쳤다.
"컴퓨터 끄세요! 지금 당장!" "네트워크에서 분리하세요!"
회의 중인 회의실에 뛰어들어가 컴퓨터 플러그를 뽑는 직원들. 카드키 시스템까지 마비되자, 문을 뛰어넘어 다른 구역으로 경고를 전하는 사람들.
전 세계 네트워크를 차단하는 데만 2시간이 걸렸다. 모든 직원에게 명령이 떨어졌다.
"컴퓨터를 끄고 책상에 그대로 두고 퇴근하세요."
디지털 전화기도 먹통이었다. IT 직원들조차 손쓸 방법이 없었다.
오후 3시, 한 임원이 젠센의 사무실로 걸어왔다.
"집에 가세요. 언제 복구될지 모르겠다."
젠센은 따뜻한 6월 오후 햇살 속으로 걸어 나왔다. 언제 다시 출근할 수 있을지 전혀 모른 채로.
세계 해운 물동량의 5분의 1을 담당하는 거대한 물류 제국이 완전히 멈춰선 순간이었다.
NotPetya 전파 체인
같은 시각, 우크라이나 키예프. 트렌디한 포딜 지구 외곽, 고속도로 고가 아래 철로 건너편에 링코스 그룹 본사가 있었다. 4층짜리 회색 건물이었다.
여기서도 똑같은 일이 벌어지고 있었다. 아니, 훨씬 더 심각했다.
우크라이나 전역의 기업들이 동시에 마비됐다. 은행, 공항, 지하철, 전력회사, 심지어 체르노빌 원전의 방사능 모니터링 시스템까지.
그런데 이상한 점이 있었다.
피해를 입은 기업들에는 공통점이 있었다. 모두 'M.E.Doc'라는 회계 프로그램을 사용하고 있었다는 것이다. 전형적인 공급망 공격이었다.
M.E.Doc는 우크라이나에서 세금 신고용으로 의무 사용해야 하는 소프트웨어였다. 우크라이나 기업 중 90% 이상이(ESET 분석 보고서 기준) 사용하는 핵심 프로그램이었다.
화면에 뜬 메시지를 다시 보자.
"비트코인 300달러를 보내면 파일을 복구해드립니다."
전형적인 랜섬웨어처럼 보였다. 하지만 보안 전문가들이 코드를 분석하면서 소름 끼치는 사실을 발견했다.
돈을 보내도 파일이 복구되지 않았다.
더 정확히 말하면, 애초에 복구할 생각이 없었다. 랜섬웨어는 보통 파일을 암호화한 뒤 복호화 키를 어딘가에 보관해둔다. 돈을 받으면 그 키를 주는 식이다.
그런데 이 악성코드는 달랐다. 복호화 키 자체를 아예 만들지 않았다. 파일을 암호화하는 척하면서 사실은 완전히 파괴해버렸다.
300달러는 미끼였다. 이건 돈을 노린 범죄가 아니었다.
6월 27일 오후, 우크라이나에서 시작된 이 악성코드는 순식간에 전 세계로 퍼져나갔다.
러시아 국영 석유회사 로스네프트의 2만 대 컴퓨터가 일시에 마비됐다. 영국 광고 대기업 WPP도 전 세계 사무실에서 동시에 시스템이 다운됐다.
프랑스 생고뱅, SNCF 철도공사. 미국 제약회사 머크. 아르헨티나 로사리오 항구까지.
하지만 가장 큰 피해를 입은 건 머스크였다.
전 세계 130개국 574개 사무소가 동시에 마비됐다. 바다 위를 떠다니는 800척의 화물선들이 어디로 가야 할지 몰라 갈팡질팡했다. 항구에서는 수만 개의 컨테이너가 어디서 왔는지, 어디로 가야 하는지 알 수 없게 됐다.
머스크는 복구하는 데만 10일이 걸렸다. 손실액은 3억 달러를 넘어섰다.
그렇다면 이 모든 파괴의 목적은 무엇이었을까?
답은 우크라이나에 있었다. 이 악성코드의 진짜 이름은 'NotPetya'였다. 러시아 군 정보기관 GRU 산하 해킹 그룹 '샌드웜'의 작품이었다.
목표는 간단했다. 우크라이나 경제를 마비시키는 것.
M.E.Doc를 통해 우크라이나 기업들을 일망타진하려던 계획이었다. 하지만 악성코드는 인터넷을 통해 국경을 넘나들며 전 세계로 퍼져나갔다.
샌드웜은 6개월 동안 M.E.Doc 서버에 숨어있었다. 회계 프로그램 업데이트를 가장해 악성코드를 심어둔 뒤, 적절한 타이밍에 전 세계로 배포한 것이다.
2017년 6월 27일은 우크라이나의 '헌법의 날' 공휴일이었다. 의미심장한 날짜 선택이었다.
NotPetya는 역사상 가장 파괴적인 사이버 공격으로 기록됐다. 전 세계 피해액은 100억 달러를 넘어섰다.
2018년, 미국을 비롯한 서방 국가들은 공식적으로 러시아를 배후로 지목했다. 하지만 러시아는 부인했다.
머스크는 이 사건 이후 완전히 달라졌다. 모든 시스템을 처음부터 다시 구축해야 했다. 백업 서버마저 감염됐기 때문이다.
그런데 머스크가 복구할 수 있었던 건 순전히 행운 덕분이었다. 가나 아크라에 있는 도메인 컨트롤러 하나가 정전으로 꺼져 있었던 것이다. 그 서버만이 감염을 피할 수 있었고, 덕분에 전체 네트워크를 복구할 수 있었다.
2024년 현재, NotPetya 같은 공격은 더 이상 특별한 일이 아니다.
작년 한 해에만 국내 기업 1,200여 곳이 랜섬웨어 공격을 당했다. SK텔레콤 유심 해킹처럼 APT 그룹의 장기 잠복도 현실이다. 대부분은 돈을 노린 범죄자들의 소행이다. 하지만 일부는 NotPetya처럼 완전한 파괴를 목적으로 한다. 한국도 3.20 사이버테러에서 같은 유형의 파괴형 공격을 경험했다.
당신이 지금 사용하는 회계 프로그램, ERP 시스템, 심지어 업무용 메신저까지. 모든 소프트웨어가 해커들의 침투 경로가 될 수 있다.
M.E.Doc처럼 '핵심 프로그램'일수록 더 위험하다. 모두가 사용하기 때문이다. 1.25 인터넷 대란에서 SQL 서버가, 3.20 테러에서 백신 업데이트 서버가 같은 약점이 됐다.
2017년 6월 27일, 코펜하겐의 화창한 오후. 젠센이 걸어 나온 머스크 본사 앞 항구에는 덴마크 왕실의 요트가 평온하게 떠 있었다.
하지만 바다 저편 어딘가에서는 누군가가 다음 공격을 준비하고 있었을 것이다. 지금도 마찬가지다.
당신의 컴퓨터 화면이 갑자기 깜빡인다면?
NotPetya가 Maersk의 45,000대 PC와 4,000대 서버를 암호화한 후, 이 회사는 전 세계 컨테이너 물류의 약 15%를 처리하는(Maersk 연례 보고서 기준) 시스템을 완전히 재구축해야 했다. 유일한 백업은 가나 사무소의 도메인 컨트롤러 하나였다. 우연히 정전으로 오프라인 상태여서 감염을 피한 것이다.
IT 직원들은 10일 만에 4,000대 서버와 45,000대 PC를 재설치했다. 이 기간 동안 Maersk는 수기로 화물을 추적했고, 최종 피해액은 약 3억 달러로 추산됐다. NotPetya의 전체 피해액 100억 달러에서 가장 큰 단일 피해자였다.
NotPetya가 전 세계로 확산된 경로는 단 하나였다. 우크라이나 기업 대다수가 사용하는 세무 회계 소프트웨어 M.E.Doc의 업데이트 서버가 침해당했다. 2017년 6월 27일 배포된 정상적인 소프트웨어 업데이트에 악성 DLL이 포함됐다. 기업들은 일상적인 업데이트를 설치했을 뿐이었다.
초기 감염 이후 NotPetya는 EternalBlue(MS17-010)와 Mimikatz를 조합한 자체 전파 모듈로 내부 네트워크를 횡적 이동했다. EternalBlue로 SMBv1 취약점을 공격하고, 실패하면 Mimikatz로 메모리에서 자격증명을 추출하여 WMI와 PsExec으로 다른 시스템에 접근했다. 이 이중 전파 메커니즘 덕에 한 대만 감염되면 같은 네트워크의 모든 Windows 시스템이 수 분 내에 암호화됐다.
Maersk의 사례가 이를 증명한다. 우크라이나 오데사 지사의 단 한 대의 PC에서 시작된 감염은 불과 7분 만에 전 세계 76개 항만 터미널의 45,000대 PC와 4,000대 서버로 확산됐다. IT 인프라가 완전히 마비되어 17일간 수작업으로 화물을 처리해야 했다. 복구 비용만 3억 달러에 달했다.
NotPetya는 사이버 보험 업계의 판도를 바꿨다. Mondelez는 사이버 보험으로 1억 달러 보상을 청구했으나, 보험사 Zurich는 NotPetya를 전쟁 행위로 분류하여 지급을 거부했다. 미국 정부가 NotPetya를 러시아 군사 작전으로 공식 귀속한 것이 근거였다. 이 분쟁은 2022년까지 이어졌고, 이후 사이버 보험 약관에 전쟁 행위 면책 조항이 표준화됐다. Lloyd's of London은 2023년부터 국가 지원 사이버 공격에 대한 보험 적용을 전면 제외하는 지침을 발표했다.
📌 이 글은 AI(Claude) 를 활용하여 작성되었다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 시나리오는 이해를 돕기 위해 각색되었다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있다.
한국 주요 사이버보안 사건
관련 MITRE ATT&CK 기법
관련 보안 주제
Sandworm APT 관련
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.