2024-03-29 02:10 (금)
우크라이나 “페트야 랜섬웨어 공격 배후에 러시아가 있다”
상태바
우크라이나 “페트야 랜섬웨어 공격 배후에 러시아가 있다”
  • 페소아 기자
  • 승인 2017.07.06 09:03
이 기사를 공유합니다

“Petya 공격 주모자, 2016년 12월에 전력망 공격한 해커와 동일범”

energy-2.jpg
우크라이나는 최근 발생했던 페트야(Petya) 사이버 공격에 대해 러시아가 중요 데이터를 파괴하고 공황상태로 몰고 가려는 목적으로 관여했다고 밝혔다.

우크라이나의 국가 안보국인 SBU는 20일 우크라이나에서 시작되어 화요일 전세계로 퍼진 Petya 공격의 주모자가 2016년 12월에 전력망을 공격한 해커와 동일범이라고 밝혔다. 이에 대해 Kremlin의 대변인은 "근거없는 혐의"라며 이를 부인했다.

이 웜은 약 60개 국가의 컴퓨터를 조종하고 배송에 혼란을 주었으며, 호주에서는 초콜릿 공장을 폐쇄시켰다. 사이버 보안회사들은 일부 전문가들에 의해 NotPetya로 명명된 이 컴퓨터 웜의 배후에 있는 이들을 하나로 모으려고 노력중이다.

SBU는 "바이러스의 주된 목적은 중요 데이터 파괴, 우크라이나 공립 및 사립 기관의 업무 방해 및 국민들을 공황에 빠지게하는 것이며, 국제 바이러스 백신회사와 협력하여 얻은 데이터를 포함한 모든 이용 가능한 정보들을 통해 분석했을 때, 해당 해킹 그룹이 2016년 12월 우크라이나의 금융 시스템, 운송 및 에너지 시스템을 공격하는 공격인 TeleBot과 BlackEnergy에 관련되었을 것이라고 판단된다. 이것은 공격에 러시아 연방의 특수 서비스가 개입했음을 의미한다"고 밝혔다.

러시아와 우크라이나는 2014년 러시아가 Crimea를 합병한 이후로 앙숙관계 상태이다.

12월 사이버 공격은 우크라이나 수도 키예프의 북부에 있는 국가 에너지 컴퓨터를 공격하여 북부 전력 정지를 일으켰다. 2016년 공격은 2015년 우크라이나의 전력그리드에 대한 유사한 공격에서 연결된 것이다. 이 공격에는 스피어 피싱을 통해 전달된 BlackEnergy 트로이가 포함되어 있다.

보안회사 센티넬원(SentinelOne)의 CISO인 에후드 샤미르(Ehud Shamir)는 2016년 3월에 "BlackEnergy의 특징은 매우 모듈화되어 있다는 것이다. 이를 이용하여 침입자는 악성프로그램의 동작을 빠르게 바꿀 수 있다. 모듈식 BlackEnergy 멀웨어의 일부는 네트워크 스니퍼의 역할을 수행하며 공격자가 산업용 제어시스템에 액세스하여 전기 공급을 위태롭게 할 수 있는 사용자 기빌 정보등의 데이터를 찾는다"라고 설명했다.

우크라이나에 대한 해당 공격은 러시아 해커들이 행한 것으로 알려졌다. 이에 대해 지난 6월, 블라디미르 푸틴 러시아 대통령은 러시아는 국가적인 해킹활동을 하지 않는다고 말했지만, 애국적인 러시아인들이 다른 국가를 공격할 수 있다고 말했다.

그는 "해커들은 자유로운 사람들이다. 예술가는 아침에 일어나서 그림을 그린다. 해커들 역시 그들과 똑같다. 그들은 아침에 일어나 국가관계에 대해서 읽다가 애국심을 느껴 러시아에 대해 나쁘게 말하는 사람들에 대해 맞서 싸울 수 있다."라고 평했다. 미국이 러시아가 민주당 이메일 해킹의 배후에 있다고 주장하고는 있지만, 푸틴은 러시아가 다른 나라의 선거에 '급진적인 영향'을 미칠 수는 없다고 반박했다.

지난주 NATO 사무총장 옌스 스톨텐버그(Jens Stoltenberg)는 북대서양 조약의 방어조항에 사이버 공격을 포함시킬 수 있다고 언급했다. 그는 "우리는 사이버 공격이 Article 5를 촉발할 수 있다고 결론을 내렸고, 사이버를 육, 해, 공과 더불어 군사영역으로 포함시킬 수 있다고 결정했다"라고 말했다.

보안 전문가들은 이 공격이 초기에는 랜섬웨어를 흉내내고는 있지만, 덮어쓴 파일의 암호를 해독하고 복원할 수 없었기 때문에 실제로는 데이터를 지우도록 설계되었다고 설명했다. Comae Technology의 Matt Suiche는 "우리는 랜섬웨어가 사실 언론을 통제하기 위함이라고 생각한다. 특히 WannaCry 사건 이후 과거와 같이 국가적 공격자가 아닌 신비한 해커그룹으로서 보여 관심을 끌기 위한 것이였다”라고 설명했다.

마이크로소프트는 그들의 원격 데이터를 통해 우크라이나의 세무회계 소프트웨어인 MEDoc를 통해 초기 감염이 발생했음을 확인했다. "이 벡터는 이미 언론매체와 우크라이나 사이버 경찰을 포함한 보안연구자들에 의해 지적되었지만, 정황증거였을 뿐이다. 이제 마이크로소프트는 MEDoc업데이터 프로레스를 통해 시작된 초기 랜섬웨어 감염에 대한 증거를 갖게되었다"라고 마이크로소프트는 밝혔다.

러시아 외무부와 연방 보안청은 이러한 혐의에 대해서 응답하지 않았다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★