2007년 처음 개발된 블랙에너지(Black Energy), 최근 우크라이나 대규모 정전사태 발생의 원인으로 알려진 악성코드이기도 하다. 국내도 블랙에너지와 유사한 공격방식을 이용하는 악성코드가 국내 발전사들을 공격한 사례도 있다. 이에 NSHC(대표 허영일) Red Alert팀은 APT 공격에 악용되고 있는 블랙에너지 악성코드에 대한 분석보고서를 공개하며 마이크로소프트 오피스 제품군 사용에 각별한 주의를 당부했다.
 
블랙에너지 악성코드는 과거 미국을 비롯한 전력사 공격에 쓰인 악성코드이다. 특히, 지난해 말 우크라이나 전력공급회사가 블랙에너지의 APT공격을 받아 악성코드에 의해 최초로 정전이 발생하는 사이버 테러가 발생했다.
 
APT공격 방식은 E-Mail을 통해 악성 VBA Script가 삽입된 XLS파일을 첨부하여 진행된다. 악성 VBA Script가 드랍한 파일을 통해 시스템에 블랙에너지 악성코드가 상주하게 되며, 기본적으로 침해 시스템으로 RPC 접속을 허용하는 기능이 포함돼있다.

 
또한 시스템에 상주 중인 악성코드는 C2 서버 명령을 통해 추가 모듈 다운로드 기능과 플러그인 설치 기능으로 시스템 파괴, 백도어 등 추가적인 악성행위가 가능하다.
 
NSHC 레드알럿팀 곽성현 연구원은 ""블랙에너지의 가장 큰 위협은 Plugin 설치를 이용한 2차 공격이다. 최근 국내 전력시설에도 블랙에너지처럼 매크로를 이용한 Dridex/Dyre의 공격이 탐지되고 있다”며 “MS-Office 제품군의 매크로 사용에 주의해야 하며 APT공격에 대한 보안의식을 고취시켜야 한다”고 말했다.
 
블랙에너지 악성코드에 대한 Red Alert팀 상세보고서는 아래 링크를 통해 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
-www.facebook.com/nshc.redalert
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com