2024-03-29 01:00 (금)
유럽의 생화학 공격 방어 관련 기관 노리며 활동 재개한 '올림픽 디스트로이어' 공격
상태바
유럽의 생화학 공격 방어 관련 기관 노리며 활동 재개한 '올림픽 디스트로이어' 공격
  • 길민권 기자
  • 승인 2018.06.22 16:18
이 기사를 공유합니다

지능적인 위협의 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로…

0622-5.jpg
카스퍼스키랩은 평창 동계 올림픽 당시 개막식을 노린 파괴형 네트워크 웜바이러스 공격으로 유명해진 올림픽 디스트로이어를 추적한 결과 그 배후 조직이 여전히 활동을 이어가고 있음이 확인됐다고 밝혔다. 이들은 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있는 것으로 보인다. 

올림픽 디스트로이어는 파괴적인 네트워크 웜바이러스를 이용해 사이버 사보타주 작전으로 2018년 평창 동계 올림픽 주최측, 협력업체를 덮친 지능형 공격이다. 이 공격의 발원지를 가리키는 지표가 다양하게 나타난 탓에 2018년 2월 정보보안 업계는 다소 혼란을 겪었다. 한 때 북한과 관계 있는 공격 집단인 Lazarus가 배후에 있음을 가리키기도 했지만 3월에 카스퍼스키랩에서 정밀 확인한 결과, 올림픽 디스트로이어는 정교하게 그 증거를 위장했으며 Lazarus가 공격의 발원지일 가능성은 낮은 것으로 밝혀졌다. 현재 연구원들은 올림픽 디스트로이어 공격이 기존 침투 및 정찰 도구를 이용해 유럽에 있는 기관을 표적으로 다시 활동을 재개하고 있음을 포착했다.

이 공격자는 동계 올림픽 공격 준비에 사용된 공격 문서와 매우 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 Salisbury 공격 조사에서 핵심적인 역할을 한 Spiez Laboratory의 주도로 스위스에서 열린 생화학 공격 컨퍼런스인 'Spiez Convergence'를 언급하는 문서가 있었다. 어떤 문서는 우크라이나의 보건 및 축산 관리 정부 기관을 표적으로 하고 있으며 일부 스피어피싱 문서는 러시아어와 독일어로 작성되어 있다고 연구원들은 밝혔다.

악성 문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하도록 설계되어 있었다. 두 번째 공격 단계에서는 PowerShell Empire로 널리 알려진 무료 오픈 소스 프레임워크가 사용되었다.

공격자들은 Joomla라는 유명한 오픈 소스 컨텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어하는 것으로 보인다. 연구원들은 악성 페이로드를 호스팅하는 서버 중 하나가 2011년 11월에 릴리스된 Joomla 버전(v1.7.3)을 사용한다는 사실을 밝혀냈다. 이는 업데이트하지 않는 CMS가 서버 해킹에 사용될 위험이 있음을 시사한다.

카스퍼스키랩의 원격 분석과 멀티스캐너 서비스에 업로드된 파일에 따르면 올림픽 디스트로이어는 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아에 있는 업체에 관심을 두고 있는 것으로 보인다.

카스퍼스키랩코리아의 이창훈 지사장은 “올해 초 나타난 올림픽 디스트로이어의 위장 기법은 기존 공격자 추적 기법을 완전히 흔들어 놓았고 전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 실수가 얼마나 쉽게 발생할 수 있는지 보여준다. 이처럼 지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 한다. 카스퍼스키랩에서 공개한 연구 결과를 통해 사고 대책 담당자들과 보안 연구원들이 향후 어떤 단계에서든 유사한 형태의 공격을 빠르게 탐지하고 효과적으로 피해를 줄일 수 있기를 바란다”라고 말했다.

한편 이전에 동계 올림픽 기간 동안 벌어진 공격에서 정찰 단계는 실질적인 공세 두세 달 전에 시작됐다. 따라서, 올림픽 디스트로이어는 새로운 목적으로 유사한 공격을 준비하고 있을 가능성이 매우 높다. 생화학 공격 연구 기관의 경우 계속 경각심을 가지고, 가능한 경우 보안 실태 점검을 실시해야 할 것이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★