사이버 보안 전문 매체 The Hacker News에 따르면, 러시아와 연관된 것으로 알려진 해킹 그룹 “Noisy Bear”가 카자흐스탄 국영 석유 기업 KazMunayGas를 겨냥한 고급 사이버 스파이 활동으로 보도되었던 사건이 실제로는 내부적으로 계획된 피싱 훈련 시뮬레이션인 것으로 밝혀졌습니다. 보안 기업 시크라이트(Seqrite)가 “Operation BarrelFire”라는 이름으로 분석한 이 사건은 실제 공격이 아닌 2025년 5월 진행된 사내 보안 교육 과정 중 하나였으며, 관련 자료와 스크린샷은 모두 테스트 시나리오에서 나온 것임을 회사 측이 공식적으로 확인했습니다.
Operation BarrelFire: 기술 분석의 오해
초기 기술 분석에서는 이 사건이 복잡하고 정교한 공격으로 보였습니다. 시크라이트 측은 다단계 공격 기법, 실제 기업 서명과 로고를 활용한 사회공학적 피싱 이메일, 그리고 주요 에너지 업계 인사들을 대상으로 한 개인화된 공격 시나리오 등을 근거로 러시아 정부와 연관된 해킹 활동으로 판단했습니다. 분석 당시, 공격자는 합법적인 웹사이트를 해킹해 악성 랜딩 페이지를 만들고, 여기에 로그인 자격 증명을 입력하도록 유도하는 기법을 사용한 것으로 추정됐습니다.
그러나 사건이 내부 훈련임이 밝혀지면서 이러한 고급 기술들은 실제로는 회사가 내부 보안 교육을 위해 정교하게 설계한 시뮬레이션 요소였음이 드러났습니다. 실제 기업 시스템과 임직원 데이터를 활용한 고도화된 테스트 환경은 외부 보안 연구자들이 진짜 공격으로 오인하기 충분할 만큼 사실적이었습니다. 이로 인해 이번 사건은 단순한 해프닝이 아닌, 사이버 보안 훈련이 얼마나 현실적으로 설계되어야 하는지를 보여주는 사례가 되었습니다.
KazMunayGas의 사이버 보안 교육 프로그램
KazMunayGas는 직원들의 보안 인식 제고를 위해 정기적인 보안 교육과 훈련 프로그램을 운영하고 있습니다. 이 회사는 대규모 석유·가스 인프라를 관리하는 만큼, 운영 전반에 걸쳐 보안 역량을 강화하기 위해 실제 해킹 시나리오와 유사한 피싱 공격 시뮬레이션을 꾸준히 진행합니다. 이러한 훈련은 직원들이 실제 공격 상황에 적절히 대응할 수 있는 능력을 기르는 것을 목표로 하며, 조직 내 보안 취약점을 점검하는 역할도 합니다.
이 회사의 훈련 방식은 실무 중심의 학습을 중시하는 기업 철학과 일치합니다. 예를 들어, 직원들은 기술 교육뿐만 아니라 환경 안전 프로토콜, 시추 기술 훈련, 사고 대응 교육 등 다양한 분야의 실습형 프로그램을 경험합니다. 보안 훈련 또한 이러한 맥락에서, 현실적인 위협을 체감할 수 있는 시뮬레이션을 통해 단순한 이론 학습 이상의 경험을 제공합니다.
Aeza Group: 사이버 범죄에 악용된 호스팅 인프라
이번 사건과는 별개로, 공격 분석 과정에서 주목받은 또 다른 핵심 요소는 Aeza Group이라는 호스팅 제공업체였습니다. Aeza Group은 AS210644라는 자율시스템을 기반으로 운영되는 업체로, 공격자들에게 저렴하고 규제가 느슨한 호스팅 환경을 제공하면서 악명 높은 ‘불릿프루프 호스팅’ 서비스로 알려졌습니다. 미국 재무부는 2025년 7월 1일 이 회사를 제재 대상으로 지정했으며, 이후 Aeza는 불과 19일 만에 새로운 IP 자율시스템으로 서버를 이전하며 규제 회피를 시도했습니다.
Aeza의 서버는 쿠웨이트 통신업계 및 수산업계를 대상으로 한 대규모 피싱 캠페인을 포함해, 수백 개의 피싱 도메인 운영에 활용되었습니다. 또한 ‘Aggressive Inventory Zombies(AIZ)’라는 캠페인도 지원했는데, 이 공격은 대형 리테일 브랜드와 암호화폐 플랫폼을 정교한 도메인 위장 전술로 노렸습니다. 보안 전문가들은 Aeza의 저비용 VPS 모델과 낮은 감시 수준 때문에 이를 “사이버 범죄의 디지털 은신처”라고 지칭하며 경고하고 있습니다.
사건의 시사점
Noisy Bear 사건은 보안 연구자와 기업 간의 소통 부재가 초래할 수 있는 오해를 보여주며, 동시에 보안 훈련 프로그램이 얼마나 정교해질 수 있는지 잘 보여줍니다. 실제 위협으로 착각될 만큼 사실적인 시뮬레이션은 직원들에게 생생한 학습 경험을 제공하지만, 외부 관찰자들에게 혼란을 줄 수 있음을 시사합니다. 이 사건은 기업이 훈련 프로그램을 설계할 때 투명성을 높이고, 외부 보안 전문가와의 협력을 강화해야 한다는 교훈을 제공합니다.
또한, Aeza Group 사례는 규제와 감시가 부족한 호스팅 인프라가 어떻게 사이버 범죄 생태계를 확대할 수 있는지를 보여줍니다. 이는 국제사회가 협력하여 불법 인프라 제공자에 대한 강력한 규제를 추진할 필요가 있다는 경각심을 일깨우는 사례로 평가됩니다.