러시아 해커들이 MS 오피스 취약점을 48시간 만에 악용한 이유

48시간. 마이크로소프트가 긴급 보안 업데이트를 배포한 후 러시아 국가 지원 해커들이 새로운 취약점을 무기화하는 데 걸린 시간이다. 이들의 속도는 현대 사이버 전쟁의 새로운 현실을 보여준다.

보안 연구진에 따르면, APT28(일명 Fancy Bear)로 불리는 러시아 해커 그룹이 CVE-2026-21509로 분류된 마이크로소프트 오피스 취약점을 즉시 역설계해 정교한 공격 도구로 개발했다. 이들은 7개국 이상의 외교, 해운, 교통 관련 기관의 시스템을 침투하는 데 성공했다.

보이지 않는 공격의 완성도

이번 공격에서 주목할 점은 탐지 회피 기술의 정교함이다. 해커들은 두 가지 새로운 백도어 프로그램을 개발했는데, 이들은 모두 암호화되어 메모리에서만 실행되어 기존 보안 솔루션으로는 탐지가 거의 불가능했다.

공격의 시작점도 교묘했다. 이미 침해된 여러 국가의 정부 계정을 이용해 이메일을 발송했기 때문에, 수신자들에게는 익숙한 발신자로 보였다. 명령 제어 서버 역시 일반적으로 허용되는 합법적인 클라우드 서비스에 숨겨져 있어 네트워크 차단을 우회했다.

제로데이의 새로운 의미

과거에는 제로데이 취약점이 발견되면 공격자들이 이를 악용하는 데 weeks나 months가 걸렸다. 하지만 이번 사례는 48시간이라는 기록을 세웠다. 이는 국가 지원 해커 그룹들의 기술적 역량이 얼마나 발전했는지를 보여준다.

마이크로소프트는 지난달 말 예정에 없던 긴급 보안 업데이트를 배포했지만, 해커들은 이 패치를 분석해 원본 취약점을 찾아내고 이를 무기화하는 데 불과 이틀밖에 걸리지 않았다. 이는 '패치가 배포되면 안전하다'는 기존 통념에 의문을 제기한다.

한국에도 닥칠 현실

이런 공격 기법은 곧 한국의 정부 기관과 기업들에게도 위협이 될 수 있다. 특히 외교부, 해양수산부, 국토교통부 등 이번 공격의 타겟과 유사한 기관들이 주의해야 할 시점이다.

국내 주요 기업들도 예외는 아니다. 삼성전자, LG전자, 현대자동차 등 글로벌 기업들은 이미 다양한 국가 지원 해커 그룹들의 관심 대상이다. 이들 기업의 IT 보안팀은 기존의 '패치 후 안전' 관점을 넘어선 대응 전략이 필요하다.