2019-08-21 23:28 (수)
악명 높은 러시아어 기반 두 해킹 조직의 공통점 밝혀져
상태바
악명 높은 러시아어 기반 두 해킹 조직의 공통점 밝혀져
  • 길민권 기자
  • 승인 2019.02.11 15:43
이 기사를 공유합니다

두 조직 모두 이메일로 위장한 피싱 문서 사용

hacker-1725256_640.jpg
카스퍼스키랩이 악명 높은 두 해킹 조직, 즉 BlackEnergy의 뒤를 이은 것으로 추측되는 GreyEnergy와 사이버 스파이 조직 Sofacy의 사이버 공격에서 중복되는 요소를 밝혀냈다. 두 조직 모두 동일한 시각에 같은 서버를 사용한 것이다. 그러나 목적은 달랐다.

현대 사이버 위협 환경의 양대산맥으로 평가 받는 BlackEnergy 및 Sofacy는 국가 차원의 심각한 피해를 일으킨 공격으로 악명이 높다. BlackEnergy가 2015년 우크라이나 에너지 시설을 공격하여 대규모 정전 사태를 초래했던 사건은 역사상 가장 악명 높은 사이버 공격 중 하나로 꼽힌다.

한편 Sofacy는 미국과 유럽의 국가 보안 및 정보 기관을 비롯한 정부 조직을 대상으로 여러 차례 공격을 가해 큰 혼란을 유발했다. 이전부터 두 조직의 연관성에 대해 의혹은 있었으나 증명할 수 없었다. 그러나 최근 BlackEnergy의 뒤를 이은 GreyEnergy가 악성 코드를 사용하여 주로 우크라이나의 기업 및 중요 인프라를 공격한 사건을 통해 BlackEnergy와 GreyEnergy가 구조적으로 아주 유사함이 드러난 이후로 상황은 달라졌다.

산업 시스템 위협의 조사연구 및 제거를 담당하는 카스퍼스키랩의 ICS CERT에서 우크라이나와 스웨덴에서 호스팅된 서버 두 대를 찾아냈다. 이들 서버는 두 해킹 조직이 2018년 6월 같은 시기에 사용한 것으로 드러났다. GreyEnergy 조직은 피싱 공격에서 악성 파일을 보관하는 용도로 서버를 사용했다. 사용자가 피싱 이메일에 첨부된 텍스트 문서를 열면 서버의 악성 파일이 다운로드되었다. 같은 시기 Sofacy는 자체 악성 코드의 명령 및 제어 센터로 사용했다. 두 조직 모두 비교적 짧은 기간 서버를 사용했으므로 사용 시기가 같다는 기막힌 우연의 일치로 보아 이들은 인프라를 공유하고 있는 것으로 추정된다. 이러한 가설은 두 조직 모두 스피어 피싱 이메일을 사용하여 일주일에 한 기업씩 공격하는 행태가 관찰되었다는 사실로 더욱 확실해졌다. 또한 두 조직 모두 유사한 피싱 문서, 즉 카자흐스탄 에너지부에서 보낸 이메일로 위장한 피싱 문서를 사용했다는 점도 주목할 만하다.

카스퍼스키랩코리아의 이창훈 지사장 “이 두 조직이 감염된 인프라를 공유한다는 사실은 단순히 러시아어를 사용한다는 공통점을 넘어 서로 협력 관계라는 사실을 가리키는 것일 수도 있다. 또한 이를 통해 이들이 협공 능력을 갖추고 있음을 알 수 있으며 목적과 잠재적 공격 목표도 더욱 뚜렷하게 확인할 수 있다. 이번에 발견된 내용으로 GreyEnergy와 Sofacy에 대한 중요한 정보가 업데이트되었다. 업계에서 이들의 전략과 기술, 절차에 대한 지식을 많이 갖출수록 보안 전문가들이 정교한 공격에서 고객을 보호하는 본연의 임무를 더욱 효과적으로 수행할 수 있을 것으로 기대한다”라고 말했다.

카스퍼스키랩은 이러한 해킹 조직의 공격에서 비즈니스를 보호하려면 다음과 같은 조치를 취할 것을 권고하고 있다.

▲직원 전용 사이버 보안 교육을 통해 직원들이 무엇이든 클릭하기 전에 항상 링크 주소와 발신자 이메일을 확인하도록 교육한다.

▲보안 인식 전략 프로젝트를 도입한다. 예를 들면 게임을 통해 반복되는 피싱 공격을 시뮬레이션하여 기술을 평가 및 강화할 수 있는 교육을 시행할 수 있다.

▲IT 및 산업 네트워크를 구성하는 시스템의 운영 체제, 애플리케이션 소프트웨어, 보안 솔루션 업데이트를 자동화한다.

▲동작 기반의 안티 피싱 기술, 표적 공격 방지 기술과 위협 인텔리전스를 갖춘 전용 보호 솔루션을 구축한다.

★정보보안 대표 미디어 데일리시큐!★