러 해커 "韓 외교부 등 정부기관 디도스 공격" 주장…우크라 지원 겨냥

등록 2026/04/20 14:02:12

수정 2026/04/20 14:50:25

친러 핵태비스트 'NoName057(16)', 韓 우크라 지원 문제 삼아 디도스 공격

미 정부도 경고한 친러 해커 활동…사이버 외교전 확대 우려

[서울=뉴시스] 기사의 이해를 돕기 위한 해커 이미지. (사진=유토이미지) 2026.04.03. *재판매 및 DB 금지

[서울=뉴시스]윤정민 기자 = 외교부가 최근 분산서비스거부(디도스·DDoS) 공격을 받아 한때 접속 장애가 발생한 가운데 그 배후가 친러시아 해커 조직이라는 주장이 나왔다. 2년 전 국방부 등 정부 주요 기관을 공격한 이 조직은 한국의 우크라이나 지원 움직임에 대한 보복 차원이라며 추가 공격 가능성도 시사했다.

20일 보안업계에 따르면 친러시아 핵티비스트 그룹 'NoName057(16)'은 최근 텔레그램 채널을 통해 한국 외교부, 산업통상부, 한국토지주택공사, 한국가스공사, 한국수력원자력, 한국원자력연구원 등 정부 기관과 에너지 핵심 인프라 8곳 이상을 상대로 디도스 공격을 벌였다고 주장했다.

실제로 외교부는 지난 17일 오후 5시께 디도스 공격을 받았고 대응 과정에서 홈페이지 접속이 지연됐다고 밝혔다. 국가정보자원관리원과도 공조 대응했으며 현재 접속 장애 등 특이사항은 없는 상태다.

2년 전 정부 동시 타격한 해커…美 법무부 "러 지원 받는 조직"

NoName057(16)은 2022년 러시아와 우크라이나 간 전쟁으로 등장한 친러 성향 해커 조직이다. 한국의 경우 지난 2024년 우리 정부의 우크라이나 무기 지원 가능성 발언을 문제 삼아 국방부 등에 디도스 공격을 감행해 이름이 알려졌다.

미 법무부는 최근 이 조직을 러시아 정부의 지원을 받는 '국가 승인 프로젝트'로 규정했다. 법무부가 지난해 12월 발표한 기소문에 따르면 2018년 10월 러시아 대통령령으로 설립된 IT 조직 '청소년 환경 연구·네트워크 모니터링 센터(CISM)' 소속 직원들이 NoName057(16)에 참여했다. 미 당국은 이 조직 관련해 중요한 정보를 제공할 경우 최대 1000만 달러(약 147억원)의 포상금을 걸었다. 이들을 중대한 국가 안보 위협으로 간주한다는 뜻이다.

이 조직은 자체 개발한 크라우드소싱형 봇넷 '디도시아(DDoSia)'를 활용해 공격한다. 일반 이용자가 프로그램을 설치해 공격에 참여하면 암호화폐로 보상을 받는 구조로 불특정 다수를 동원하는 참여형 사이버 공격 모델이 특징이다.

현재 4000명 이상의 자원자 네트워크를 확보하고 있는 것으로 알려졌는데 이들은 텔레그램 채널을 통해 공격 대상과 성과를 공개하고 참여자 순위를 매겨 보상하는 방식으로 규모를 늘리고 있다.

"韓, 나토와 우크라 지원 논의? 대가 치를 것"

[서울=뉴시스] 친러시아 핵티비스트 그룹 'NoName057(16)'이 지난 13일 텔레그램 채널에 게시한 글. 외교부가 지난 2월 북대서양조약기구(나토·NATO)의 '우크라이나 우선 요구 목록(PURL)' 가입을 검토한다고 밝힌 입장에 대해 비판했다. (사진=NoName057 텔레그램 캡처)

뉴시스 확인 결과 이 조직은 지난 13일부터 텔레그램에서 '#OpSouthKorea' 캠페인을 내걸고 한국 정부 기관 등을 겨냥해 왔다.

NoName057(16)은 공격 이유로 한국 정부의 우크라이나 지원 발언을 꼽았다. 외교부는 지난 2월 20일 "우크라이나 지원 관련해 북대서양조약기구(나토·NATO)와 다양한 방안을 지속 협의하고 있다"며 나토의 '우크라이나 우선 요구 목록(PURL)' 가입도 검토하고 있다고 밝힌 바 있다.

이후 이 조직은 13일 "(한국 외교당국의 결정이) 가져올 결과를 명확히 보여주겠다"며 현재까지 공격을 수차례 이어오고 있다.

이시간 핫뉴스

이들이 공개한 텔레그램 게시물에 따르면 국세청(홈택스), 국회, 코레일 등 공공기관뿐만 아니라 대전경찰청, 더불어민주당 홈페이지 등 정치·행정 기관의 접속 장애 화면이 줄지어 올라왔다. 다만 현재 디도스 공격에 따라 공식적으로 장애가 확인된 곳은 외교부가 유일하다.

"단순 해킹 넘어 '사이버 압박 외교'…보안 전략 재설계 시급"

업계 일각에서는 이번 공격을 단순한 사이버 공격이 아닌 지정학적 목적을 가진 '장기 캠페인'의 시작으로 보고 있다.

김호광 베타랩스 대표는 최근 깃허브에 올린 관련 보고서를 통해 "기술적으로는 약한 공격일 수 있으나 정치적으로는 한국이 러시아의 정식 '사이버 압박 외교' 대상국에 편입된 걸 알리는 공개 선언"이라고 밝혔다.

김 대표는 이번 공격에 대해 정책 결정 라인에서 공공 서비스를 거쳐 에너지 인프라로 이어지는 3단계 구조적 타깃 설계가 특징이라며 "향후 1~2년 내 공격이 산업제어시스템(ICS) 및 운영기술(OT) 영역으로 확대될 가능성이 크다. 공격 과정에서 수집된 방어 체계 데이터가 향후 실물 설비를 겨냥한 정밀 공격의 밑바탕이 될 수 있다"고 말했다.

이어 "공격 대응 프레임을 '사건 대응'에서 국가적인 '캠페인 대응'으로 전환해야 한다"며 "해외 봇넷 서버에 대한 제한적 무력화 권한을 부여하는 '능동적 사이버 방어' 법적 근거를 마련하고 사이버안보기본법 제정 등 국가 전략의 전면 재설계가 시급하다"고 강조했다.

◎공감언론 뉴시스 [email protected]