국가 기반의 해킹 조직은 정치적 갈등과 전쟁 상황에서 사이버 공간을 전략적 무대로 활용하며, 점점 더 정교하고 체계적인 공격 방식을 구사하고 있다. 최근에는 단일 그룹의 독립적 공격을 넘어 서로 다른 위협 그룹이 협력해 복합적 공격을 수행하는 사례가 증가하고 있다. 이는 단순한 정보 탈취를 넘어 국가 인프라와 산업 전반을 위협하는 새로운 위험 패턴으로 확산되고 있다.

러시아 연계 가마레돈과 툴라 협력 포착

사이버 보안 기업 이셋 리서치(ESET Research)는 러시아 연방보안국(FSB)과 연계된 두 해킹 그룹인 가마레돈(Gamaredon)과 툴라(Turla)가 협력해 우크라이나의 주요 기업과 기관을 공격한 정황을 처음으로 확인했다고 밝혔다.

조사에 따르면 2025년 2월, 가마레돈의 도구 프테로그래핀(PteroGraphin)과 프테로오드(PteroOdd)가 감염된 시스템에서 틀라의 고급 스파이웨어 카주어(Kazuar) 백도어를 실행하는 장면이 포착됐다. 이는 가마레돈이 대규모 침투를 담당하고, 툴라가 고가치 표적을 정밀 공격하는 구조적 협력을 보여준다.

2025년 4월과 6월에도 카주어 v2가 가마레돈의 프테로 오드, 프테로페이스트(PteroPaste)를 통해 배포된 정황이 확인됐다. 가마레돈은 스피어피싱, 악성 LNK 파일, 이동식 드라이브를 주요 침투 벡터로 사용하며, 툴라는 장기적이고 은밀한 정보 수집에 특화된 카주어 임플란트를 활용했다.

우크라이나 보안국은 가마레돈이 크림반도의 FSB 18센터에서 운영된다고 발표했으며, 영국 국가 사이버 보안 센터는 툴라를 FSB 16센터 소속으로 귀속시켰다. 두 그룹은 냉전 시기부터 이어진 협력 기반 위에, 우크라이나 전쟁 이후 활동을 더욱 강화한 것으로 보인다. ESET 데이터는 최근 몇 달간 이들의 공격이 우크라이나 방위 산업을 주요 대상으로 삼고 있음을 보여준다.

장기적 활동과 국제적 사례

가마레돈은 2013년 이후 주로 우크라이나 정부 기관을 공격해왔으며, 툴라는 2004년부터 활동하며 2008년 미국 국방부와 2014년 스위스 방위업체 RUAG를 침해한 사례가 보고된 바 있다. 이들의 오랜 활동 이력은 국가 기반 해킹 그룹이 얼마나 집요하고 장기적인 위협을 전개하는지를 보여준다.

이셋 리서치의 이번 분석은 가마레돈과 툴라가 국가 차원에서 협력해 복합 공격을 수행하는 최초의 사례를 구체적으로 드러낸다. 이는 특정 국가 간 갈등에 국한되지 않고, 글로벌 차원의 보안 질서를 위협하는 중대한 경고다.

한국 역시 방위 산업, 에너지, 금융, 기간 인프라 등 전략적 자산을 보유하고 있어 유사한 공격 벡터의 표적이 될 가능성이 크다. 특히 초기 침투와 정밀 간첩 활동을 결합한 형태의 공격은 한국 기업과 기관에도 장기적 위협이 될 수 있다. 이에 따라 국내는 글로벌 위협 인텔리전스와의 협력 강화, 침투 초기 탐지 체계 고도화, 보안 거버넌스 확립을 통해 선제적 대응 전략을 마련해야 한다. 이번 사례는 사이버 안보가 더 이상 지역적 문제가 아니라 국제 사회 전체의 공동 과제임을 명확히 보여준다.