- 이란 표적 하이브리드 위협: CanisterWorm 와이퍼가 이란의 클라우드 인프라 취약점을 집중 공략하며, 시간대와 언어 정보로 공격 대상을 정확히 선별
- 클라우드 보안 경종: 협업 도구·스토리지 등 근본 취약점 악용, 내부 확산 가속화로 데이터 삭제 및 업무 마비 초래
- 금전+정치적 동기 복합화: 램섬웨어 특성과 지정학적 목표 동시 추구, 사이버 용병 집단의 활동 가능성을 시사
“표적이 정밀해진 오늘날, 클라우드 보안의 사각지대가 국가적 위협이 되고 있습니다.”
1. 사건 개요 – CanisterWorm의 등장과 공격 타깃
2026년 3월, 이란을 대상으로 정교하게 설계된 사이버 공격이 확인되며 보안 업계에 비상이 걸렸습니다. 미국의 사이버보안 전문 미디어인 KrebsOnSecurity에 따르면, CanisterWorm이라 명명된 와이퍼 악성코드가 이란의 주요 기관 및 조직을 겨냥해 대규모 데이터 삭제를 일으켰습니다.
이 공격은 단순한 범죄성 해킹을 넘어, 금전적 이익을 추구하는 해커 집단이 지정학적 목적에 복합적으로 개입한 사례로 주목받고 있습니다. 분석 결과에 따르면, 이 악성코드는 이란만을 정밀 표적화하도록 설계됐으며, 배후에 특정 국가 또는 집단의 영향력이 의심됩니다.
2. 공격 방식 – 클라우드 서비스 취약점 악용 및 전파 구조
CanisterWorm의 핵심 특징은 침입 및 확산 방식에 있습니다. 이 악성코드는 보안이 취약한 클라우드 서비스를 우회로 삼아 조직 내부 시스템에 침투합니다. 클라우드 스토리지·협업 도구의 미흡한 접근통제와 인증 설정을 악용하며, 외부에서 손쉽게 내부로 진입합니다.
내부 침입에 성공한 이후에는 측면 이동(Lateral Movement) 기법으로 여러 시스템에 빠르게 퍼집니다. 특히, 클라우드 환경에서 공유되는 인증정보(자격증명·토큰)를 탈취해 권한을 높이고, 추가 시스템에도 침투하는 전형적인 클라우드 기반 공격 양상을 보입니다.
전문가들은 이런 공격이 최근 클라우드 우선 환경의 보안 위협 증가와 밀접히 연관되어 있다고 경고합니다. 각 조직이 클라우드 전환을 가속화하면서, 미흡한 보안구성과 설정 오류가 주요 표적으로 전락하고 있습니다.
3. 피해 범위와 특징 – 이란 맞춤 공격
CanisterWorm이 가진 가장 두드러진 특징은 표적 선정 기준에 있습니다. 악성코드는 시스템의 시간대와 기본 언어 설정을 분석해, 이란 표준시(UTC+3:30) 혹은 페르시어가 기본 언어인 환경만 공격합니다.
이런 정밀한 필터링은 공격 효율성과 성공률을 극대화하며 불필요한 확산을 막습니다. 동시에 공격자가 이란의 IT 생태계와 사용자 특성을 사전 분석했음을 드러냅니다.
감염된 시스템에서는 모든 데이터가 삭제되는 와이퍼 기능이 동작하며, 조직은 심각한 데이터 손실과 업무 중단을 겪게 됩니다. 여기에 금전 요구(랜섬웨어 요소) 및 정치적 목적까지 관여해, 복합 동기의 공격임을 알 수 있습니다.
4. 배경 및 동기 – 금전적 해커 그룹의 지정학적 개입 양상
CanisterWorm 사건은 단순한 금전 목적의 랜섬웨어와 다릅니다. 최근 이란이 직면한 복잡한 지정학적 갈등 속에, 현지 사이버 공간이 집중적으로 노출되고 있다는 점이 주목받습니다.
보안 기관 Recorded Future와 Microsoft Security Intelligence의 분석에 따르면, 해당 공격 조직은 전통적인 국가 소속이 아닌 금전적 이득 추구형 범죄 집단으로 추정됩니다. 그러나 특정 국가 또는 세력의 지원과 이해관계가 개입됐을 가능성이 높아, 이른바 ‘사이버 용병’ 유형의 대리 공격이 의심됩니다.
이런 사례는 국가 간 갈등이 직접적인 국가 주체 공격에서 벗어나, 대리 세력을 동원한 간접 공격으로 진화했음을 보여줍니다. 금전적·정치적 동기가 결합한 위협이 증가하면서, 보안 대응 전략 역시 완전히 재설계가 필요한 시점입니다.
5. 국내외 보안 시사점 및 대응 방안
이번 CanisterWorm 공격은 중대한 보안 교훈을 남깁니다. 첫째, 클라우드 인프라의 보안 강화가 필수입니다. 많은 조직이 클라우드의 편의성에만 집중하고, 다단계 인증(MFA), 최소 권한 원칙, 접근권한 감사 등 핵심 보안 조치를 소홀히 하고 있습니다.
둘째, 이란 표적형 공격처럼 언어·시간대 기반의 정교한 위협에 대비해, 위협 인공지능(Threat Intelligence)과 엔드포인트 탐지 및 대응(EDR) 솔루션을 도입해 비정상 설정 탐지를 강화해야 합니다.
셋째, 랜섬웨어와 와이퍼에 대응하는 데이터 백업·복원 체계 시험이 필수적입니다. 특히, 클라우드 기반 백업의 무결성을 상시 점검해야 실제 공격 발생 시 신속 대응이 가능합니다.
한국 기업 역시 글로벌 클라우드 서비스를 적극 활용하면서 유사한 취약점에 노출될 소지가 높아, 선제적 보안 점검과 위협 인식 강화가 무엇보다 중요합니다.
6. 결론 및 전망
CanisterWorm 사건은 금전 이득과 지정학적 목적이 혼재된 고도화된 표적 공격입니다. 클라우드 환경 기반, 시간대-언어 정보 활용 등 신종 사이버 위협 양상을 입증하며, 기존 보안 패러다임의 전면적 변화 필요성을 시사합니다.
향후 이런 하이브리드 위협은 더욱 증가할 것으로 보입니다. 모든 조직은 클라우드 보안 강화, 다층 방어체계, 그리고 최신 위협 인텔리전스 활용에 적극적으로 나서야 하며, 글로벌 차원의 협력과 정보 공유의 중요성도 재차 강조됩니다.
- 클라우드 취약점 중심의 표적 와이퍼 공격, 한국 등 글로벌 기업에도 경고
- 금전+정치적 동기 복합… 사이버 용병·하이브리드 공격 확산 추세
- 철저한 클라우드 보안 설정, 자동화된 위협 감지 및 정기 백업이 최선의 대응