2024-03-29 20:30 (금)
2017년 2분기 지능형 표적 공격 양상, 제로데이부터 랜섬웨어까지
상태바
2017년 2분기 지능형 표적 공격 양상, 제로데이부터 랜섬웨어까지
  • 길민권 기자
  • 승인 2017.08.10 22:17
이 기사를 공유합니다

러시아어, 영어, 한국어, 중국어를 구사하는 해킹 조직들…세계 전역에 피해 유발

928-5.jpg
2017년 2분기에는 정교한 기술을 자랑하는 해킹 조직들이 새롭고도 한층 발전된 악성 도구를 대거 풀어냈다. 이 중에는 제로데이 취약점은 물론이고 워너크라이(WannaCry)와 ExPetr 등, 전에는 보지 못했던 두 가지 악성 코드도 포함된다.

WannaCry와 ExPetr를 분석한 결과, 전문가들은 코드가 미완성인 상태로 등장했을 가능성을 제시했다. 재원이 풍부한 해킹 조직으로서는 흔치 않은 상황이라 할 수 있다. 최근 카스퍼스키랩에서 발간된 분기별 위협 인텔리전스 요약 보고서를 통해 이러한 현상 및 기타 다른 추세에 대해 확인해볼 수 있다.

4월부터 6월말에 이르는 기간 동안 표적형 공격의 발전이 두드러졌으며, 그 중심에는 러시아어, 영어, 한국어, 중국어를 구사하는 해킹 조직이 있다. 표적형 공격이 크게 발전함에 따라 기업의 IT 보안 전반에도 광범위한 영향을 미쳤다.

전 세계 어디에서나 교묘한 악성 활동이 하루가 멀다 하고 일어나며, 이에 따라 사이버 전쟁에서 기업과 비영리 조직이 부수적 피해를 입을 소지도 늘어나고 있다. 국가나 민족 단체의 지원을 받는 것으로 추정되는 WannaCry와 ExPetr는 세계 전역의 기업과 조직에 피해를 입히는 ‘치명적인 전염병’으로써, 이전에 보지 못한 신종이지만 앞으로도 유사한 악성 코드는 계속 이어질 것으로 전망된다.

2017년 2분기에서 주목할 만한 추세는 다음과 같다.

△러시아어 기반의 해킹 조직 Sofacy 및 Turla에서 감행한 3건의 Windows 제로데이 익스플로잇 공격: APT28 또는 FancyBear로도 알려진 Sofacy는 정부와 정치 단체 등 여러 유럽 기관에 제로데이 익스플로잇을 유포했다. 이들은 실험 단계의 악성 코드를 일부 유포한 것으로도 보이는데, 프랑스 총선 전에 정당원을 대상으로 한 것이 가장 두드러졌다.

△Gray Lambert: 고도의 정교함과 복잡성을 자랑하며 영어를 사용한 사이버 스파이 악성 코드 ‘Lamberts’ 그룹의 최신 지능형 툴킷을 카스퍼스키랩이 분석한 결과, 새로운 관련 악성 코드군이 두 가지 확인되었다.

△5월 12일자 WannaCry 공격과 6월 27일자 ExPetr 공격: 특성이나 공격 대상은 매우 다르지만, WannaCry와 ExPetr 모두 놀랍게도 ‘랜섬웨어’로서는 효과가 떨어진다. WannaCry는 전 세계적으로 급속히 확산되고 세간의 주의를 끌면서 해킹 조직의 비트코인 계정도 덩달아 조명 받게 되었고, 결국 이 방법으론 현금 인출이 어려워졌다. 이는 WannaCry의 진짜 목적이 데이터 파괴에 있음을 시사한다. 카스퍼스키랩은 WannaCry와 Lazarus Group의 연관성을 추가로 찾아냈다. 악성 코드를 랜섬웨어로 위장하는 패턴은 ExPetr 공격에서도 보인 바 있다.

△우크라이나, 러시아, 기타 유럽 국가 조직을 대상으로 한 ExPetr 공격: ExPetr 또한 랜섬웨어로 보이지만 실은 데이터 파괴 목적의 악성 코드인 것으로 밝혀졌다. ExPetr 공격 동기는 지금도 알려지지 않았는데, 카스퍼스키랩은 Black Energy로 알려진 해킹 조직과는 연관성이 낮은 것으로 판단했다.

카스퍼스키랩코리아 이창훈 지사장은 “오랫동안 진정한 글로벌 위협 인텔리전스에 큰 비중를 두고, 민감하고 중요한 네트워크 보안에 기여하기 위해 노력해왔다. 지금도 여러 해킹 집단이 인터넷 공간이나 그 안에서 매일 숨쉬는 중요 기관과 기업의 안녕에는 관심조차 두지 않은 채 기술 개발에만 열을 올리는 중”이라며 “사이버 스파이와 사보타주, 그리고 관련 범죄가 만연해지면서, 보안 담당자들이 함께 뭉치고 첨단의 지식을 공유해 이 모든 위협에 더욱 원활히 대응할 필요성이 한층 커졌다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★