메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 06/

폴란드 재생에너지 인프라 대상 협공 사이버 공격

·5138 자·11 분
Security-Issues-Analysis 중요인프라 OT보안 와이퍼악성코드 APT 재생에너지 Static-Tundra
목차

보안 사건 분석 보고서 #

1. 사건 개요 #

사건 명칭 #

폴란드 재생에너지 인프라 대상 협공 사이버 공격

발생 시기 #

2025년 12월 29-30일

피해 대상 #

  • 30개 이상의 풍력 및 태양광 발전소
  • 대형 열병합 발전소(CHP) 1개소 (약 50만 명에게 난방 공급)
  • 제조업체 1개소

공격자 #

러시아 FSB Center 16과 연계된 Static Tundra (일명 Berserk Bear, Ghost Blizzard, Dragonfly, Sandworm과의 연관성도 제기됨)

공격 결과 #

통신 두절 및 원격 제어 불가 상태 발생, 그러나 전력 생산 및 난방 공급은 중단되지 않음

2. 사건 상세 분석 #

공격 시점 및 배경 #

공격은 2025년 12월 29일 오전과 오후에 협조된 형태로 발생했다. 이 시기는 폴란드가 극한 추위와 눈보라를 겪으며 에너지 수요가 급증하던 신년 직전이었다. 공격 타이밍은 의도적으로 선택된 것으로 보이며, 에너지 인프라에 대한 파괴적 영향을 극대화하려는 시도로 평가된다.

CERT Polska는 이 공격을 순수하게 파괴적 목적을 가진 사이버 방화에 비유했다. 실제로 랜섬웨어 요구나 금전적 동기는 확인되지 않았으며, 오직 시스템 파괴만을 목표로 했다.

공격 대상 인프라 #

공격은 분산 에너지 자원의 그리드 연결 지점 역할을 하는 전력 변전소를 표적으로 삼았다. 이 변전소들은 풍력 및 태양광 발전소에서 배전 시스템으로 에너지를 전송하는 허브 역할을 한다.

변전소에는 다수의 산업 자동화 장치가 운영되고 있었다. RTU(원격 단말 장치)는 변전소 운영의 원격 제어 및 감독을 담당하며, HMI(인간-기계 인터페이스)는 시설 운영 상태를 시각화한다. 보호 릴레이는 전기적 손상에 대한 보호를 제공하고, 직렬 포트 서버, 모뎀, 라우터, 네트워크 스위치 등의 통신 장치들이 함께 운영되고 있었다.

초기 침투 경로 #

공격자는 VPN 및 방화벽 기능을 제공하는 FortiGate 장치의 노출을 통해 초기 접근을 획득했다. 많은 장치가 다중 인증(MFA)이 설정되지 않았고, 알려진 취약점을 포함한 패치되지 않은 펌웨어를 실행하고 있었다.

자격 증명 재사용이 공격자가 사이트 간 측면 이동을 할 수 있게 했다. 일부 장치는 알려진 취약점을 포함하고 있었으며, 재사용된 자격 증명은 공격자가 여러 시설에 접근할 수 있게 만들었다.

공격 실행 과정 #

내부 네트워크 접근 후, 공격자는 정찰 활동을 수행하고 파괴 계획을 준비했다. 12월 29일에는 자동화된 파괴 작업을 순차적으로 실행했다.

공격자는 Hitachi RTU의 펌웨어를 손상시켰다. Mikronika 컨트롤러를 와이핑하고, 보호 릴레이를 비활성화했다. HMI 컴퓨터에 DynoWiper 악성코드를 배포했고, Moxa 직렬 장치를 사보타주했다.

관리자 접근 권한을 획득한 후, 공격자는 증거를 지우고 복구를 지연시키기 위해 장치를 초기화했다. 이러한 작업은 통신을 차단하고 원격 제어를 불가능하게 만들었지만, 전력 생산 자체는 중단시키지 못했다.

열병합 발전소 공격 #

열병합 발전소에 대한 공격은 더욱 정교했다. 공격자는 2025년 3월부터 장기간 인프라에 침투하여 민감한 운영 정보를 탈취하고 권한 있는 계정에 접근했다.

12월 29일, 공격자는 와이퍼 악성코드를 활성화하려 했지만, 조직이 사용하는 EDR(엔드포인트 탐지 및 대응) 소프트웨어가 이를 차단했다. 공격이 성공했다면 약 50만 명의 난방 공급이 중단될 수 있었다.

제조업체 공격 #

같은 날, 공격자는 제조업체도 공격했다. 이는 기회주의적 공격으로, 에너지 부문 공격과 시간을 맞췄지만 직접적 연관성은 없었다. 열병합 발전소 공격에 사용된 것과 동일한 와이퍼 악성코드가 사용되었다.

악성코드 분석 #

공격자는 데이터 파괴만을 목적으로 설계된 신규 와이퍼 악성코드를 사용했다. DynoWiper는 Windows 환경을 대상으로 하며, 파일의 일부를 무작위 데이터로 덮어쓰고 삭제하여 복구를 불가능하게 만든다.

LazyWiper는 PowerShell 스크립트로, 광범위한 파일 유형을 대상으로 부분적으로 덮어쓰기를 수행한다. 분석가들은 이 스크립트의 일부가 AI 도구를 사용하여 생성되었을 가능성이 있다고 평가했다.

악성코드는 명령 및 제어 서버가 없고, 지속성 메커니즘도 없으며, 은폐 시도도 하지 않는다. Active Directory를 통해 악성 그룹 정책 작업을 사용하여 네트워크 전체에 배포되었다.

3. 근본 원인 분석 #

기술적 원인 #

FortiGate 장치에 대한 다중 인증 미적용이 가장 직접적인 기술적 원인이다. VPN 및 방화벽 장치가 MFA 없이 외부에 노출되어 있었다.

알려진 취약점이 포함된 패치되지 않은 펌웨어도 문제였다. 일부 FortiGate 장치가 알려진 취약점을 포함하고 있었음에도 패치가 적용되지 않았다.

분산 에너지 자원 특성상 발생하는 보안 격차도 존재했다. 풍력 및 태양광 발전소는 좁은 비용 마진으로 구축되어 사이버보안 투자가 제한적이었고, 운영 및 유지보수를 위한 광범위한 원격 연결 요구사항이 있었으며, 많은 사이트가 대형 시설을 위해 설계된 규제 임계값 이하에 있었다.

관리적 원인 #

분산 에너지 자원에 대한 사이버보안 규제 격차가 주요 관리적 원인이다. 작은 풍력 및 태양광 발전소는 대형 중앙집중식 발전소에 적용되는 엄격한 사이버보안 규제를 받지 않는 경우가 많다.

공급망 보안 관리 부족도 문제였다. FortiGate 장치와 같은 공통 인프라 구성 요소가 여러 사이트에 걸쳐 표준화되어 있어, 하나의 취약점이 여러 시설에 영향을 미칠 수 있었다.

사고 대응 및 복구 계획의 부재도 근본 원인이다. 많은 시설이 사이버 공격에 대한 구체적인 대응 계획이나 복구 절차를 갖추지 못했다.

인적 원인 #

에너지 전환 과정에서의 보안 인식 부족이 인적 원인으로 작용했다. 재생에너지 자원의 급격한 확대가 보안 성숙도를 앞질렀다.

운영 기술과 정보 기술 간의 사일로도 문제였다. OT 환경을 관리하는 엔지니어와 IT 보안 팀 간의 협력 부족이 보안 격차를 만들었다.

4. 학습 포인트 #

분산 에너지 자원의 취약성 #

에너지 전환이 진행되면서 풍력, 태양광, 소형 CHP와 같은 분산 에너지 자원이 전 세계 전력망에 점점 더 많이 통합되고 있다. 이러한 자원들은 비용 효율적이고 환경 친화적이지만, 중앙집중식 발전소에 비해 사이버보안 투자가 제한적이다.

폴란드 공격은 분산 에너지 자원이 사이버 공격의 새로운 표면이 되고 있음을 보여준다. 공격자는 이전에 중앙집중식 제어 시스템을 표적으로 삼았지만, 이제는 그리드의 분산된 가장자리를 공격하는 전략적 전환을 시도하고 있다.

표준화된 구성의 위험 #

여러 사이트에 걸쳐 표준화된 FortiGate 구성은 운영 효율성을 제공하지만, 동시에 반복 가능한 공격을 가능하게 한다. 하나의 취약점이나 자격 증명 세트가 여러 시설에 접근할 수 있게 만든다.

이는 공급망 보안의 중요성을 강조한다. 공통 인프라 구성 요소의 보안이 전체 시스템의 보안을 결정할 수 있다.

OT 환경에 대한 파괴적 공격 #

이번 공격은 Static Tundra 또는 Sandworm 활동 클러스터의 첫 번째 공개된 파괴적 캠페인으로 평가된다. 이전에는 주로 정보 수집과 장기 침투에 집중했지만, 이제는 명시적인 파괴 작업으로 전환했다.

와이퍼 악성코드의 사용은 금전적 동기가 아닌 순수한 파괴 의도를 보여준다. 랜섬웨어와 달리, 와이퍼는 복구 불가능한 데이터 손실을 초래한다.

타이밍의 전략적 중요성 #

공격이 극한 추위와 눈보라가 있던 신년 전야에 발생했다는 점은 의도적인 타이밍 선택을 시사한다. 에너지 수요가 최고조에 달하고 보안 팀의 인력이 줄어드는 시기를 노린 것이다.

이는 공격자가 운영 환경과 계절적 취약성을 이해하고 활용한다는 것을 보여준다.

EDR의 효과성 #

열병합 발전소에서 EDR 소프트웨어가 와이퍼 악성코드 실행을 차단했다는 점은 엔드포인트 보안 솔루션의 중요성을 입증한다. OT 환경에서도 적절한 엔드포인트 보안이 치명적인 공격을 방지할 수 있다.

5. 예방 및 완화 전략 #

즉각적 조치 #

모든 외부 노출 FortiGate 장치에 MFA를 구현해야 한다. 특히 VPN 접근에 대해서는 필수적이다.

알려진 취약점에 대한 보안 패치를 즉시 적용해야 한다. FortiGate 및 기타 네트워크 인프라에 대한 긴급 패치 관리가 필요하다.

사이트 간 자격 증명 재사용을 제거하고 고유한 강력한 자격 증명을 각 시설에 적용해야 한다.

모든 OT 시스템에 EDR 또는 유사한 엔드포인트 보안 솔루션을 배포해야 한다. 열병합 발전소 사례가 그 효과를 입증했다.

중장기 대책 #

IT와 OT 네트워크 간의 세분화를 구현하여 측면 이동을 제한해야 한다. 제로 트러스트 아키텍처 원칙을 OT 환경에 적용한다.

분산 에너지 자원에 대한 사이버보안 규제를 강화해야 한다. 소형 발전소도 기본적인 사이버보안 표준을 준수하도록 요구한다.

정기적인 침투 테스트와 레드팀 활동을 통해 취약점을 사전에 식별하고 해결해야 한다. 특히 분산 에너지 자원 환경에 초점을 맞춘다.

사고 대응 및 복구 계획을 수립하고 정기적으로 테스트해야 한다. 사이버 공격 시나리오를 포함한 훈련을 실시한다.

공급업체 및 제3자 보안 평가를 강화하여, 공통 인프라 구성 요소의 보안을 보장해야 한다.

OT 환경에 특화된 위협 인텔리전스 피드를 구독하고 활용해야 한다. Static Tundra, Sandworm과 같은 APT 그룹의 TTP를 지속적으로 모니터링한다.

국가 차원 대응 #

폴란드 정부는 국가 사이버보안 시스템법 제정을 진행 중이며, IT 및 OT 시스템 보호, 위험 관리, 사고 대응에 대한 더 엄격한 요구사항을 도입할 예정이다.

에너지 인프라의 자율성 및 국산화를 추진하여, 외국 국가의 간섭에 취약한 시스템과 장치에 대한 의존도를 줄인다.

6. 컨설팅 관점 적용 #

경영진 보고 #

에너지 전환이 가져오는 사이버보안 리스크를 경영진에게 명확히 전달해야 한다. 재생에너지 자원의 확대는 환경적으로 필요하지만, 사이버보안 투자가 동반되지 않으면 국가 차원의 에너지 안보 위협이 될 수 있다.

폴란드 공격 사례를 통해, 공격이 극한 날씨 조건에서 발생했고 50만 명의 난방 공급을 중단시킬 수 있었다는 점을 강조하여 비즈니스 연속성 및 사회적 영향을 설명한다.

사이버보안 투자를 에너지 인프라 프로젝트의 필수 구성 요소로 포함시키도록 권고한다. 초기 설계 단계부터 보안을 고려하는 것이 비용 효율적이다.

기술팀 커뮤니케이션 #

OT 환경의 특수성을 고려한 기술적 가이드를 제공한다. IT 보안 관행을 OT 환경에 그대로 적용하기 어려운 이유와 OT 특화 솔루션의 필요성을 설명한다.

RTU, HMI, SCADA 시스템 등 OT 장치에 대한 보안 강화 방안을 구체적으로 제시한다. 펌웨어 업데이트, 네트워크 세분화, 접근 제어 등의 기술적 조치를 단계별로 설명한다.

EDR 솔루션의 OT 환경 적용 방법과 모니터링 전략을 공유한다. 열병합 발전소에서 EDR이 와이퍼를 차단한 사례를 근거로 활용한다.

보안팀 가이드 #

APT 그룹의 OT 환경 공격 TTP를 분석하고 대응 전략을 수립하도록 한다. Static Tundra, Sandworm의 과거 공격 패턴과 이번 공격의 차이점을 학습한다.

와이퍼 악성코드에 대한 탐지 및 대응 절차를 수립한다. DynoWiper, LazyWiper의 특성을 이해하고 유사 악성코드 탐지를 위한 규칙을 설정한다.

분산 에너지 자원에 대한 위험 평가 프레임워크를 개발한다. 각 사이트의 중요도, 연결성, 보안 성숙도를 평가하여 우선순위를 결정한다.

7. 예상 질의응답 #

Q1: 우리 조직의 재생에너지 시설도 위험한가요? #

위험 수준은 여러 요인에 따라 다릅니다. FortiGate 또는 유사한 네트워크 장치를 사용하는지, MFA가 구현되어 있는지, 정기적인 보안 패치가 적용되는지 확인이 필요합니다. 또한 여러 사이트에 걸쳐 자격 증명이 재사용되는지, EDR 솔루션이 배포되어 있는지도 중요한 요소입니다.

Q2: 왜 공격이 성공하지 못했나요? #

세 가지 요인이 있습니다. 첫째, 열병합 발전소의 EDR 소프트웨어가 와이퍼 악성코드를 차단했습니다. 둘째, 재생에너지 시설은 통신이 두절되었지만 자율적으로 전력 생산을 계속할 수 있었습니다. 셋째, CERT Polska와 관련 기관의 신속한 대응이 추가 피해를 방지했습니다.

Q3: 분산 에너지 자원이 왜 더 취약한가요? #

분산 에너지 자원은 좁은 비용 마진으로 구축되어 사이버보안 투자가 제한적입니다. 원격 운영 및 유지보수를 위한 광범위한 연결성이 요구되며, 많은 시설이 엄격한 규제 요구사항 이하에 있습니다. 또한 표준화된 구성이 여러 사이트에 적용되어 하나의 취약점이 광범위한 영향을 미칠 수 있습니다.

Q4: FortiGate 장치만 문제인가요? #

FortiGate는 이번 공격의 초기 진입점이었지만, 문제는 특정 제품이 아니라 구성 및 관리 방식입니다. MFA 미적용, 패치되지 않은 펌웨어, 자격 증명 재사용 등의 문제는 다른 네트워크 장치에서도 발생할 수 있습니다. 포괄적인 네트워크 보안 평가가 필요합니다.

Q5: 이 공격이 다른 국가에도 영향을 미칠 수 있나요? #

분산 에너지 자원은 전 세계적으로 확대되고 있으며, 유사한 취약점이 다른 국가에도 존재할 가능성이 높습니다. 폴란드 공격은 이러한 인프라를 표적으로 하는 새로운 전술의 시작일 수 있으며, 다른 국가들도 즉시 유사한 취약점을 평가하고 완화해야 합니다.

8. 결론 #

폴란드 재생에너지 인프라 공격은 사이버 공격 전술의 중요한 전환점을 나타낸다. 공격자는 중앙집중식 제어 시스템에서 분산된 에너지 자원의 가장자리로 초점을 이동했다. 이는 에너지 전환이 가져오는 새로운 사이버보안 도전을 보여준다.

공격은 극한 날씨 조건에서 발생하여 잠재적 영향을 극대화하려 했으며, 순수하게 파괴적 목적을 가진 와이퍼 악성코드를 사용했다. 다행히 EDR 솔루션과 신속한 대응으로 심각한 피해는 방지되었지만, 공격의 정교함과 조정된 특성은 향후 유사한 공격의 위험을 경고한다.

이 사건은 재생에너지 확대에 사이버보안 투자가 반드시 동반되어야 함을 명확히 한다. MFA, 정기적 패치, EDR 배포, 네트워크 세분화와 같은 기본적인 보안 통제가 OT 환경에도 적용되어야 한다. 또한 분산 에너지 자원에 대한 규제 프레임워크 강화와 국가 차원의 사이버보안 역량 구축이 필요하다.

에너지 전환과 사이버보안은 별개의 과제가 아니라 함께 해결해야 할 통합된 도전이다. 폴란드의 경험은 다른 국가들에게 중요한 교훈을 제공하며, 사전 예방적 보안 조치의 중요성을 강조한다.