러시아 해커들이 MS 오피스 취약점을 48시간 만에 악용한 이유
APT28 해커 그룹이 마이크로소프트 오피스 취약점을 48시간 만에 역설계해 외교·해운·교통 기관을 타겟한 정교한 공격. 사이버 보안의 새로운 현실을 보여주는 사례.
48시간. 마이크로소프트가 긴급 보안 업데이트를 배포한 후 러시아 국가 지원 해커들이 새로운 취약점을 무기화하는 데 걸린 시간이다. 이들의 속도는 현대 사이버 전쟁의 새로운 현실을 보여준다.
보안 연구진에 따르면, APT28(일명 Fancy Bear)로 불리는 러시아 해커 그룹이 CVE-2026-21509로 분류된 마이크로소프트 오피스 취약점을 즉시 역설계해 정교한 공격 도구로 개발했다. 이들은 7개국 이상의 외교, 해운, 교통 관련 기관의 시스템을 침투하는 데 성공했다.
보이지 않는 공격의 완성도
이번 공격에서 주목할 점은 탐지 회피 기술의 정교함이다. 해커들은 두 가지 새로운 백도어 프로그램을 개발했는데, 이들은 모두 암호화되어 메모리에서만 실행되어 기존 보안 솔루션으로는 탐지가 거의 불가능했다.
공격의 시작점도 교묘했다. 이미 침해된 여러 국가의 정부 계정을 이용해 이메일을 발송했기 때문에, 수신자들에게는 익숙한 발신자로 보였다. 명령 제어 서버 역시 일반적으로 허용되는 합법적인 클라우드 서비스에 숨겨져 있어 네트워크 차단을 우회했다.
제로데이의 새로운 의미
과거에는 제로데이 취약점이 발견되면 공격자들이 이를 악용하는 데 weeks나 months가 걸렸다. 하지만 이번 사례는 48시간이라는 기록을 세웠다. 이는 국가 지원 해커 그룹들의 기술적 역량이 얼마나 발전했는지를 보여준다.
마이크로소프트는 지난달 말 예정에 없던 긴급 보안 업데이트를 배포했지만, 해커들은 이 패치를 분석해 원본 취약점을 찾아내고 이를 무기화하는 데 불과 이틀밖에 걸리지 않았다. 이는 '패치가 배포되면 안전하다'는 기존 통념에 의문을 제기한다.
한국에도 닥칠 현실
이런 공격 기법은 곧 한국의 정부 기관과 기업들에게도 위협이 될 수 있다. 특히 외교부, 해양수산부, 국토교통부 등 이번 공격의 타겟과 유사한 기관들이 주의해야 할 시점이다.
국내 주요 기업들도 예외는 아니다. 삼성전자, LG전자, 현대자동차 등 글로벌 기업들은 이미 다양한 국가 지원 해커 그룹들의 관심 대상이다. 이들 기업의 IT 보안팀은 기존의 '패치 후 안전' 관점을 넘어선 대응 전략이 필요하다.
기자
관련 기사
영국 비자 신청 대행 사이트 'UK Visa Portal'에서 10만 건 이상의 여권 사진과 셀피가 외부에 노출됐다. 피해자들은 공식 정부 사이트로 착각하고 개인정보를 제출했다.
주당 3억 2500만 번 다운로드되는 오픈소스 프레임워크 Starlette에서 치명적 보안 취약점이 발견됐다. MCP 서버를 통해 AI 에이전트가 보관 중인 자격증명과 민감 데이터가 무방비 상태로 노출될 수 있다.
GitHub 내부 코드 저장소 3,800개가 해킹됐다. VS Code 확장 프로그램을 통한 공급망 공격의 실체와, 개발자 생태계 전반이 새로운 표적이 된 이유를 분석한다.
Dirty Frag' 취약점이 리눅스 전 배포판에서 루트 권한 탈취를 허용한다. 익스플로잇 코드가 공개된 지 3일, 마이크로소프트는 이미 실제 공격 시도를 포착했다.
의견
이 기사에 대한 생각을 나눠주세요
로그인하고 의견을 남겨보세요