미국-이스라엘-이란 전쟁 발발 후, 예상보다 잠잠한 이란의 사이버 공격. 전문가들은 일시적인 현상으로 분석하며, 주요 공격 유형과 대비책을 경고합니다.
미국과 이스라엘의 이란 공격 이후 5일, 사이버 보복에 대한 최악의 예측은 아직 현실화되지 않았습니다. 그러나 이란은 세계에서 가장 활발한 사이버 작전국 중 하나이며, 전문가들은 이것이 일시적인 유예일 가능성이 높다고 경고합니다. 2026년 3월 초, 영국 국가 사이버 보안 센터(NCSC)와 캐나다 사이버 보안 센터(CCCS)는 이란 사이버 캠페인이 제기하는 위협에 대한 일반적인 경고를 발표했습니다. 미국 사이버 보안 및 인프라 보안국(CISA)은 2025년 10월 이후 경고를 업데이트하지 않았습니다.
사이버 위협 고조
NCSC는 “중동에 진출하거나 공급망을 둔 조직과 기업에 대한 간접적인 사이버 위협의 위험이 거의 확실히 높아졌다”고 밝혔습니다. 캐나다 CCCS는 최소한 몇 가지 가능성을 제시했습니다. “이란은 미국과 이스라엘의 합동 전투 작전에 대응하기 위해 사이버 프로그램을 사용할 가능성이 매우 높습니다.” 이 기관은 조직에게 기회주의적인 DDoS 공격 및 기타 낮은 수준의 사이버 활동의 배경 소음 너머로 랜섬웨어 및 파괴적인 와이퍼 공격과 같은 더 불길한 위협을 찾도록 촉구했습니다. 이러한 경고의 일반적인 특성은 경고 피로 문제, 즉 공격이 끊임없는 위협이라면 조직은 무엇에 주의를 기울여야 하는가라는 문제를 강조합니다. 운동 전쟁의 발발은 이것을 변화시키거나 단순히 시간 척도를 변경할 뿐일까요?
APT 및 와이퍼 악성코드
보안 회사들은 이란의 위협을 광고하는 데 주저하지 않습니다. 그럼에도 불구하고 이란의 사이버 보복은 지금까지 놀라울 정도로 미미했다는 것이 일반적인 의견입니다. 이는 이란의 에너지 및 인터넷 인프라 중단으로 인한 일시적인 조정 기간일 수 있다고 그들은 경고합니다. 현재 활동 중인 그룹은 크게 세 가지 중복되는 범주로 나뉩니다. 주로 중동 인프라를 표적으로 하는 그룹, 서방의 목표를 지향하는 그룹(특수 APT 그룹 포함), 그리고 목표가 예측 불가능한 이란 외부의 소규모 프록시 그룹입니다. Palo Alto의 Unit 42는 3월 2일에 “국가와 연계된 사이버 부대가 작전상 고립되어 행동할 수 있으며, 이는 이전에 확립된 패턴에서 벗어날 수 있습니다. 또한 이란의 명령 및 제어 저하로 인해 이란 외부의 셀이 전술적 자율성을 가질 수도 있습니다.”라고 말했습니다.
DDoS 공격 감소 추세
DDoS는 가장 큰 즉각적인 위협을 나타냅니다. 지금까지 이는 대규모로 발생하지 않았으며, Cloudflare CEO Mathew Prince는 일요일 X에 이란 관련 DDoS 공격이 실제로 감소했다고 트윗했습니다. 이는 CrowdStrike가 Hydro Kitten 그룹이 미국 은행 부문에 대한 DDoS 위협을 발행하여 단기적인 중단을 초래했다는 보고서에도 불구하고 발생했습니다. 보안 회사 Radware는 2월 28일에서 3월 2일 사이에 이란과 관련된 것으로 보이는 149건의 DDoS 공격을 감지했으며, 대부분은 중동 정부 기관을 표적으로 했습니다. 이 중 극히 일부만이 Keymous+, DieNet, Conquerors Electronic Army의 세 해커 활동가 그룹에 의해 주도되었다고 회사는 밝혔습니다.
와이퍼 공격의 위협
파괴적인 ‘와이퍼’ 공격이 더 큰 문제입니다. 이에 대한 선례는 2012년 석유 회사 Saudi Aramco에서 30,000대의 워크스테이션을 닦아낸 악명 높은 이란 Shamoon 악성코드입니다. 후속 공격 시도가 에너지 부문을 표적으로 삼았지만, 전쟁 중에는 미국 또는 다른 곳에서 어떤 목표든 가능성이 있다는 위험이 있습니다. 보안 벤더 Anomali는 “이란의 와이퍼 무기고에는 15개 이상의 제품군(ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher)이 포함되어 있습니다.”라고 경고했습니다. 가장 큰 우려는 이슬람 혁명 수비대(IRGC) 및 정보 보안부(MOIS)와 관련된 유명 APT 그룹으로, 공격에 대한 입증된 실적을 가지고 있습니다. 여기에는 APT35/APT42(Charming Kitten, Phosphorous) 및 APT 33(Elfin Team)이 포함됩니다. 흥미롭게도 가장 활동적인 이란 APT 중 하나인 APT34(OilRig)는 일주일 동안 감지되지 않아 잠잠해진 것으로 보입니다. Anomali는 “이는 비활성이 아닌 은밀한 사전 포지셔닝을 나타낼 가능성이 높습니다.”라고 말했습니다. 보안 회사 Tenable은 각 이란 위협 그룹의 도구, 기술 및 절차를 논의하는 가장 중요한 이란 위협 그룹에 대한 유용한 요약을 게시했습니다.
표적 및 대응
캐나다 위협 인텔리전스 회사 Flare의 수석 사이버 범죄 연구원인 Adrian Cheek에 따르면 가장 위험에 처한 부문은 방위 및 정부 공급망, 금융 서비스, 에너지 및 의료를 포함한 중요 인프라입니다. “수자원, 에너지 및 의료 부문이 현재 가장 노출되어 있습니다. 이러한 부문은 높은 목표 우선순위와 운영 기술 환경에서 특히 취약한 기준 보안을 결합합니다. 금융 서비스는 높은 목표 우선순위에 직면하지만 일반적으로 더 강력한 방어를 갖추고 있습니다.”라고 Cheek는 말했습니다. 이란 그룹은 먼저 운영 기술 및 산업 제어 시스템의 알려진 약점을 찾을 것입니다.
“걸프 지역 운영을 수행하는 모든 미국 다국적 기업은 지역 직원에게 증가된 물리적 및 사이버 위협에 대해 브리핑해야 합니다. 가능한 경우 피싱 방지 MFA(FIDO2/WebAuthn)를 구현하십시오. 관리되지 않는 원격 모니터링 및 관리(RMM) 도구를 제거하십시오.”라고 그는 말했습니다. 조직은 또한 와이퍼 악성코드를 긴급하게 모니터링하는 동시에 엔드포인트 시스템이 Shamoon 변종을 탐지할 수 있도록 준비하고 VPN 및 기타 엣지 장치를 패치해야 합니다. 이는 이란이 선호하는 또 다른 목표입니다. 응용 프로그램 보안 회사 ZeroPath의 CEO인 Dean Valentine은 AI가 이러한 유형의 갈등에 미칠 영향은 큰 미지수라고 제안했습니다. “강력한 사이버 보안 기능을 갖춘 프런티어 모델의 출현은 파괴적인 사이버 공격 참여의 문턱을 낮춥니다. 올해 이전에는 사이버 공간에서 활발하게 활동하는 국가가 몇 개 없었습니다. 이제 어떤 국가나 범죄 조직이든 5~10명의 숙련되지 않은 엔지니어를 모아 큰 피해를 입힐 수 있습니다.”라고 그는 말했습니다. 이란의 공격적인 사이버 역량은 미국과 이스라엘의 공격으로 크게 감소했지만, AI는 더 지리적으로 분산된 그룹의 손에 강력한 혼란을 조용히 불어넣고 있다고 그는 경고했습니다. “이 모든 것은 가까운 장래에 이란과 같은 가난한 국가가 인터넷 인프라의 많은 부분을 마비시켜 훨씬 더 강력하게 반격할 수 있음을 의미합니다.” 이 기사는 CSO에 처음 게재되었습니다.
