악명 높은 러시아어 기반의 두 해킹 조직이 가진 공통점
 
악명 높은 두 해킹 조직, 즉 BlackEnergy의 뒤를 이은 것으로 추측되는 GreyEnergy와 사이버 스파이 조직 Sofacy의 사이버 공격에서 중복되는 요소가 카스퍼스키랩 연구진에 의해 밝혀졌다. 두 조직 모두 동일한 시각에 같은 서버를 사용한 것이다. 그러나 목적은 달랐다.

현대 사이버 위협 환경의 양대산맥으로 평가 받는 BlackEnergy 및 Sofacy는 국가 차원의 심각한 피해를 일으킨 공격으로 악명이 높다. BlackEnergy가 2015년 우크라이나 에너지 시설을 공격하여 대규모 정전 사태를 초래했던 사건은 역사상 가장 악명 높은 사이버 공격 중 하나로 꼽힌다. 한편 Sofacy는 미국과 유럽의 국가 보안 및 정보 기관을 비롯한 정부 조직을 대상으로 여러 차례 공격을 가해 큰 혼란을 유발했다. 이전부터 두 조직의 연관성에 대해 의혹은 있었으나 증명할 수 없었다. 그러나 최근 BlackEnergy의 뒤를 이은 GreyEnergy가 악성 코드를 사용하여 주로 우크라이나의 기업 및 중요 인프라를 공격한 사건을 통해 BlackEnergy와 GreyEnergy가 구조적으로 아주 유사함이 드러난 이후로 상황은 달라졌다.

산업 시스템 위협의 조사연구 및 제거를 담당하는 카스퍼스키랩의 ICS CERT에서 우크라이나와 스웨덴에서 호스팅된 서버 두 대를 찾아냈다. 이들 서버는 두 해킹 조직이 2018년 6월 같은 시기에 사용한 것으로 드러났다. GreyEnergy 조직은 피싱 공격에서 악성 파일을 보관하는 용도로 서버를 사용했다. 사용자가 피싱 이메일에 첨부된 텍스트 문서를 열면 서버의 악성 파일이 다운로드되었다. 같은 시기 Sofacy는 자체 악성 코드의 명령 및 제어 센터로 사용했다. 두 조직 모두 비교적 짧은 기간 서버를 사용했으므로 사용 시기가 같다는 기막힌 우연의 일치로 보아 이들은 인프라를 공유하고 있는 것으로 추정된다. 이러한 가설은 두 조직 모두 스피어 피싱 이메일을 사용하여 일주일에 한 기업씩 공격하는 행태가 관찰되었다는 사실로 더욱 확실해졌다. 또한 두 조직 모두 유사한 피싱 문서, 즉 카자흐스탄 에너지부에서 보낸 이메일로 위장한 피싱 문서를 사용했다는 점도 주목할 만하다.

이에 카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 다음과 같이 말했다. “이 두 조직이 감염된 인프라를 공유한다는 사실은 단순히 러시아어를 사용한다는 공통점을 넘어 서로 협력 관계라는 사실을 가리키는 것일 수도 있습니다. 또한 이를 통해 이들이 협공 능력을 갖추고 있음을 알 수 있으며 목적과 잠재적 공격 목표도 더욱 뚜렷하게 확인할 수 있습니다. 이번에 발견된 내용으로 GreyEnergy와 Sofacy에 대한 중요한 정보가 업데이트되었습니다. 업계에서 이들의 전략과 기술, 절차에 대한 지식을 많이 갖출수록 보안 전문가들이 정교한 공격에서 고객을 보호하는 본연의 임무를 더욱 효과적으로 수행할 수 있을 것으로 기대합니다.”

카스퍼스키랩은 이러한 해킹 조직의 공격에서 비즈니스를 보호하려면 다음과 같은 조치를 취할 것을 권고하고 있다.

• 직원 전용 사이버 보안 교육을 통해 직원들이 무엇이든 클릭하기 전에 항상 링크 주소와 발신자 이메일을 확인하도록 교육한다.
• 보안 인식 전략 프로젝트를 도입한다. 예를 들면 게임을 통해 반복되는 피싱 공격을 시뮬레이션하여 기술을 평가 및 강화할 수 있는 교육을 시행할 수 있다.
• IT 및 산업 네트워크를 구성하는 시스템의 운영 체제, 애플리케이션 소프트웨어, 보안 솔루션 업데이트를 자동화한다.
• 동작 기반의 안티 피싱 기술, 표적 공격 방지 기술과 위협 인텔리전스를 갖춘 전용 보호 솔루션을 구축한다. 예를 들면 Kaspersky Threat Management and Defense 솔루션 등이 이에 해당된다. 이러한 솔루션을 통해 네트워크 이상 징후를 분석하며 지능형 표적 공격을 발견하고 차단할 수 있으며 사이버 보안 팀이 네트워크 전반을 완벽히 파악하고 대응을 자동화할 수 있다.

카스퍼스키랩의 ICS CERT 보고서 전문은 여기에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.
19-02-18 09:03