영국 내 사이버 안보 위협 및 러시아 연계 그룹 공격 연대기

영국 정부는 2017년 6월 발생한 NotPetya 사이버 공격이 러시아 정부의 소행이라고 공식 발표했다. 이는 영국 국립사이버보안센터(NCSC)의 평가에 따른 것으로, 러시아 군이 '거의 확실하게' 책임이 있다고 밝혔다. 이 공격은 우크라이나를 주 표적으로 삼았으나, 무차별적인 설계로 인해 유럽 전역의 기업에 수억 파운드의 피해를 입혔다.

2018년 10월 4일, 영국 정부는 러시아 군사 정보기관인 GRU가 전 세계적으로 '무모하고 무차별적인' 사이버 공격 캠페인을 벌였다고 공개적으로 비난했다. APT28(Fancy Bear)과 같은 그룹이 수행한 이 공격들은 정치 기관, 기업, 언론 및 스포츠 단체를 표적으로 삼았으며, 우크라이나의 운송 시스템과 세계반도핑기구(WADA)에 대한 시도도 포함되었다. NCSC는 12개의 해킹 그룹 코드명이 GRU의 위장이라고 밝혔다.

2021년 4월 15일, 영국과 미국 정부는 SolarWinds 공급망 침해를 러시아 대외정보국(SVR)의 소행으로 공식 지목했다. 영국 국립사이버보안센터(NCSC)는 SVR이 SolarWinds 'Orion' 소프트웨어에 무단 접근하고 이후 표적 공격을 수행했을 가능성이 '매우 높다'고 평가했다. 영국에 대한 전반적인 영향은 낮았지만, 소수의 공공 부문 기관이 표적이 되었다.

2022년 2월 러시아의 우크라이나 전면 침공 이후, 영국 국립사이버보안센터(NCSC)는 영국 조직들에게 사이버 방어 강화를 경고하며 위협 수준이 높아졌음을 알렸다. NCSC는 2022년 2월 우크라이나 은행 부문에 대한 분산 서비스 거부(DDoS) 공격이 러시아 GRU의 소행이라고 지목하며, '파급 효과' 가능성을 강조했다. 보고서에 따르면 전쟁 발발 후 영국 인프라를 표적으로 한 사이버 공격이 최대 1,586% 급증했으며, 주요 기반 시설이 주요 표적이 되었다.

영국은 러시아 연계 사이버 위협에 대한 대응으로 제재를 부과해왔다. 2023년 2월 9일, 영국은 미국과 협력하여 Trickbot/Conti 랜섬웨어 그룹과 연계된 7명의 개인을 영국 인프라 공격에 대한 책임으로 제재했다. 이어서 2023년 12월 7일에는 러시아 FSB 센터 18에 종속된 것으로 평가되는 'Star Blizzard' (Callisto Group) 사이버 해킹 그룹의 두 구성원을 제재했다. 이들은 영국 조직과 정부를 약화시키기 위한 스피어 피싱 캠페인에 연루된 혐의를 받았다.

2023년 12월 7일, 영국 정부와 NCSC는 러시아 정보기관, 특히 'Star Blizzard' (FSB 센터 18) 그룹이 영국 정치 및 민주적 과정에 개입하기 위한 지속적인 사이버 캠페인을 벌여왔다고 공개적으로 밝혔다. 이 캠페인은 2015년부터 의원, 언론인 및 기타 시민 사회 단체를 대상으로 한 스피어 피싱 공격과 신뢰를 훼손하기 위한 정보 유출을 포함했다. 2025년 3월에는 영국 안보 장관이 러시아 정부가 지시한 'Doppelganger' 네트워크와 연계된 외국 영향력 캠페인이 2024년 영국 선거를 방해하려 했으나 실패했다고 확인했다.

2026년 4월 9일, 영국 국립사이버보안센터(NCSC)는 러시아 국가 연계 위협 행위자인 APT28(Fancy Bear)이 취약한 라우터를 악용하여 DNS 설정을 조작하고 대규모 트래픽을 공격자 제어 인프라로 리디렉션하고 있다고 경고했다. 이 활동은 중간자(AitM) 공격을 지원하여 공격자가 웹 및 이메일 트래픽을 가로채고 잠재적으로 변경하여 자격 증명을 노출하고 더 광범위한 네트워크 침해 위험을 증가시킨다. NCSC는 2024년부터 2026년까지 APT28이 가상 사설 서버(VPS)를 악성 DNS 서버로 구성해왔다고 밝혔다.