우크라이나 국방 부문·국가 재난 대응 체계, 슬로바키아·체코 등 나토국가 군수 물류 공급망 공격

[보안뉴스 김형근 기자] 러시아의 악명 높은 해커 조직 APT28(Pawn Storm)이 우크라이나와 나토 동맹국을 겨냥해 미공개 악성코드 세트인 ‘프리즘엑스(PRISMEX)’를 유포하고 있다.


[출처: gettyimagesbank]

이번 공격은 우크라이나의 국방 부문과 국가 재난 대응 체계는 물론, 슬로바키아·체코 등 나토 파트너국의 군수 물류 공급망을 타깃으로 삼았다. 이들은 마이크로소프트(MS)가 보안 패치를 발표하기도 전에 취약점(CVE-2026-21513 등)을 즉각 무기화하는 뛰어난 제로데이 공격 능력을 보였다.

해커들은 두 개의 취약점을 정밀하게 엮어, 사용자가 경고를 인지하기도 전에 악성 페이로드를 실행하는 고도의 2단계 공격 체인을 구축했다. 프리즘엑스는 이미지 파일 안에 악성 코드를 속속들이 숨기는 스테가노그래피(Steganography) 기법을 동원해 보안 탐지를 교묘하게 우회한다.

특히 프리즘엑스쉬트(PrismexSheet)는 드론 전쟁이 한창인 전장 상황을 교묘히 악용한다. 군 관계자들이 혹할 만한 ‘최신 공격용 드론 가격표’를 미끼로 던져 파일을 열게 유도한 뒤, 배후에서 시스템 권한을 탈취하는 고도의 정밀한 기만술을 구사하고 있다. 이들은 또한 ‘Filen.io’같은 정상적인 클라우드 서비스를 명령제어(C2) 서버로 악용해 공격 트래픽을 일반적인 네트워크 활동인 것처럼 치밀하게 위장한다.

공격의 최종 단계에서는 이메일을 훔치는 미니도어(MiniDoor)나, 시스템을 장악하는 커버넌트(COVENANT) 프레임워크 기반의 임플란트를 심는다. 단순히 정보를 빼내는 스파이 활동에 그치지 않고, 사용자 파일을 철저히 지워버리는 와이퍼 기능을 실행해 파괴 공작까지 감행한다.

이번 공격은 단순한 정보 탈취를 넘어 나토의 군수 공급망을 마비시키려는 중대한 전략적 파괴 공작의 신호탄이다. 제로데이 취약점과 클라우드 위장을 결합한 이들의 무자비한 공세에 대응하기 위해, 동맹국 간의 정보 공유와 보안 태세 확립이 시급하다. 보안 전문가들은 이번 작전이 우크라이나 지원 공급망을 마비시키려는 러시아의 중대한 전략적 변화이자 더 큰 파괴 행위의 전조라고 경고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>