2019-09-23 15:44 (월)
아시아의 정치 외교적 표적과 새로운 공격 통해 드러난 2분기 위협 상황
상태바
아시아의 정치 외교적 표적과 새로운 공격 통해 드러난 2분기 위협 상황
  • 길민권 기자
  • 승인 2018.07.17 19:22
이 기사를 공유합니다

2018년 2분기 주로 아시아 지역에서 APT 공격 활동 활발하게 관찰돼

aaaa-3.jpg
2018년 2분기에는 주로 아시아 지역에서 APT 공격 활동이 활발하게 관찰되었다. 이러한 활동에는 잘 알려진 조직과 비교적 덜 알려진 조직이 모두 연관되어 있었다. 많은 조직이 이 지역의 민감한 정치 외교적 사건을 표적으로 삼거나 그 시기를 노려 공격을 전개했다.

카스퍼스키랩에서 최근 발간된 분기별 위협 인텔리전스 요약 보고서를 통해 이러한 현상 및 기타 동향에 대해 확인해 볼 수 있다.

2018년 2분기 카스퍼스키랩의 연구원들은 APT(지능형 지속 공격) 조직들의 새로운 도구와 기술, 공격을 잇따라 발견했는데 그 중에는 수 년 간 활동이 없던 조직도 있었다. 아시아는 APT 조직의 관심이 집중된 지역이었다. 한국어 기반 조직 Lazarus나 Scarcruft 같은 지역 기반 조직의 활동이 두드러졌으며, 러시아어 기반의 Turla가 중앙 아시아와 중동을 노리고 사용한 LightNeuron라는 것도 발견되었다.

2018년 2분기에서 주목할 만한 동향은 아래와 같다.

▲올림픽 디스트로이어의 배후 조직의 귀환

2018년 1월 평창 동계 올림픽에 대한 공격 이후, 카스퍼스키랩 연구원들은 러시아의 금융 기관과 유럽 및 우크라이나의 생화학 위협 방지 연구소에 가해진 공격을 발견했는데, 이를 올림픽 디스트로이어와 동일한 공격자의 소행으로 추정하고 있다. 많은 지표들이 낮음~중간 정도의 가능성으로 올림픽 디스트로이어와 러시아어 기반 조직 Sofacy와의 연관성을 시사하고 있다.

▲Lazarus/BlueNoroff

이 유명 APT가 남미의 카지노는 물론 대형 사이버 스파이 캠페인의 일환으로 터키의 금융 기관을 노렸다는 지표들도 있었다. 이러한 공격 활동은 최근의 북한 평화 회담 무드와는 관계 없이 돈을 목적으로 한 Lazarus의 활동은 계속되고 있음을 보여준다.

▲Scarcruft APT 활동은 상대적으로 활발한 것으로 관찰

이 조직은 안드로이드 악성 코드를 사용하고 연구원들이 POORWEB이라 명명한 새로운 백도어 공격을 전개했다.

▲APT 27로도 알려진 중국어 기반 조직 LuckyMouse APT는 과거 아시아 지역 ISP를 이용하여 유명 웹 사이트를 통해 워터홀 공격을 가한 것이 관측된 바 있는데, 이번엔 카자흐스탄과 몽골 정부 관계자들이 중국에서 회의를 열 시기에 이들을 노렸다는 사실이 발견되었다.

▲Cisco Talos가 발견해 낸 VPNFilter 공격은 FBI가 그 배후로 Sofacy 또는 Sandworm을 지목했는데 네트워킹 하드웨어와 스토리지 솔루션이 몹시 취약하다는 사실을 보여주는 계기가 되기도 했다. VPNFilter는 나아가 트래픽에 악성 코드를 삽입해 네트워킹 장치 너머의 컴퓨터까지 감염시킬 수 있다. 카스퍼스키랩의 분석 결과, VPNFilter의 흔적은 전 세계 대부분의 국가에서 확인되었다.

카스퍼스키랩코리아의 이창훈 지사장은 "2018년 2분기는 APT 활동 측면에서 매우 흥미로운 시기로, 지난 몇 년 간 카스퍼스키랩이 예측했던 위협 요소가 얼마나 현실화 됐는지 확인해주는 공격이 있었다. 특히 네트워킹 하드웨어가 표적 공격을 받기 매우 쉬우며 이런 장치를 집중적으로 노린 수준 높은 공격의 가능성을 카스퍼스키랩은 지속적으로 경고해 왔었다"고 말했다.

한편 데일리시큐는 오는 9월 10일 월요일 매년 9월 개최하는 국내 최고 퀄리티의 정보보안 인텔리전스 컨퍼런스 K-ISI 2018을 개최한다고 밝혔다.

로비에서는 사이버위협 대응 및 침해사고 대응, 정보보안 인텔리전스 전문 국내외 정보보안 기업들의 전시회도 열릴 예정이다. K-ISI 2018 발표와 전시회 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 문의하면 된다.

사전등록자는 참석대상을 선별해 300명으로 제한하며 참석이 확정된 등록자에게는 최종 참석확정 문자를 보낸다. 참석자 200명에게는 선착순으로 점심식사권을 제공하며 주차는 지원하지 않는다. 발표자료는 행사 종료후 등록사이트에서 다운로드 가능하다. 참석을 희망하는 보안실무자는 아래 등록링크를 통해 사전등록 가능하다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★