> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“에너지 산업 겨냥 시스템 파괴형 공격 증가”
미국·유럽·터키 에너지 기업 겨냥 ‘드래곤플라이’ 활동 재개…자격증명 탈취해 후속 공격에 이용
2017년 09월 08일 15:57:39 김선애 기자 iyamm@datanet.co.kr

에너지 산업 겨냥한 시스템 파괴형 사이버 공격 그룹 ‘드래곤플라이(Dragonfly)’가 미국과 터키 기업을 대상으로 공격을 진행하는 것으로 나타났다.

시만텍에 따르면 드래곤플라이는 2011년 이전부터 활동한 것으로 보이며, 2014년 실체가 드러난 후 잠시 사라졌다가 2015년 말 다시 공격을 재개한 것으로 분석된다. 이들은 올해부터 뚜렷한 공격 양상을 보이고 있는데, 미국, 터키, 스위스 소재 기업을 겨냥해 공격을 시도하고 있으며, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다. 과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키의 기업을 겨냥한 공격이 크게 증가한 것으로 나타났다.

적법한 SW 해킹해 공격에 이용

드래곤플라이 2.0 공격은 초기의 형태와 유사하게 피해자의 네트워크에 접근하기 위해 ▲악성 이메일 ▲워터링홀 공격 ▲트로이목마 탑재 소프트웨어 등 다양한 공격 방식을 구사하고 있다.

드래곤플라이 공격에서 시만텍이 가장 먼저 탐지한 공격은 2015년 12월 송년 파티 초대장으로 위장한 악성 이메일을 에너지 분야와 관련된 타깃에게 보낸 공격이었다. 또한 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다.

탈취한 자격증명 정보는 타깃 조직을 겨냥한 백도어 설치 등 후속 공격에 사용됐다. 2016년과 2017년 공격에서 드래곤플라이 그룹은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 쉘터(Shellter)를 이용하고 있다. 또한 시만텍은 드래곤플라이 그룹이 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해하는 것도 확인했다.

   

에너지 시설 노리는 사이버 공격 증가

드래곤플라이 그룹이 겨냥한 ‘에너지 산업’ 분야는 지난 2년간 사이버 공격자들의 관심이 증가한 영역이다. 2015년과 2016년 가장 주목을 끌었던 우크라이나 전력 시스템 중단은 사이버 공격이 원인이었고, 수십만 주민에게 영향을 미친 정전사태로 이어졌다.

최근에는 일부 유럽 국가에서 전력망에 대한 공격을 시도했다거나 미국 원자력 발전소를 관리하는 기업이 해킹을 당했다는 보도도 있었다. 드래곤플라이 그룹은 에너지 시설의 운영방식을 배우고, 운영시스템 자체에 접근하는 것에 관심이 있는 것처럼 보이기 때문에 이러한 운영시스템을 파괴하거나 제어할 가능성도 배제할 수 없다.

원래의 드래곤플라이 캠페인은 공격자가 목표로 삼은 조직의 네트워크에 단순히 접근하고자 하는 ‘탐색 단계’였던 것에 불과한 것으로 보인다. 그런데 최근의 공격 캠페인들이 더욱 파괴적인 목적 달성을 위해 운영체제에 접근했을 가능성을 감안하면, 새로운 단계의 공격에 돌입할 가능성이 있음을 시사하고 있다.

이번에 확인된 드래곤플라이 공격에서 가장 주목해야 할 부분은 공격자들의 화면 캡처를 활용한다는 것이다. 공격자들이 ‘기기 설명 및 위치’, ‘조직명’ 등 구분이 용이한 포맷을 활용해 화면 캡처 파일을 표시하는 특정 사례가 포착됐다는 것이다. 다수의 기기 설명에 사용된 문자열 ‘cntrl’은 해당 기기들이 운영체제에 접근이 가능하다는 것을 명시하고 있는 것으로 보인다.

윤광택 시만텍코리아 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며 “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고, 보안패치를 적용해야 할 것”이라고 당부했다.

자격증명 관리 철저히 해야

한편 시만텍은 사이버공격에 대응하기 위해 다음과 같은 보안 수칙을 지킬 것을 조언했다.

- 드래곤플라이는 네트워크 침해를 위해 탈취한 자격 증명에 크게 의존한다. 따라서 높은 권한이 부여된 중요한 암호는 숫자와 문자를 혼합해 최소 8~10자 또는 그 이상으로 하는 것이 좋다.

사용자는 다수의 웹사이트에서의 동일한 암호를 반복적으로 사용하지 않고, 타인과 암호를 공유하는 것은 절대 금해야 한다. 사용하지 않는 프로필이나 자격 증명은 삭제하고 관리자 수준의 프로필 생성은 한정해야 한다. 시만텍 VIP 등 이중 인증을 도입해 보안을 한 단계 높여 공격자가 탈취한 자격 증명을 사용하는 것을 막아야 한다.

- 특정 기술이나 보호 방법에서 단일 지점 오류를 대비해 상호보완적인 다중 보안 체계가 중요하다. 이는 네트워크 전반에 주기적으로 업데이트되는 방화벽, 게이트웨이 백신, 침입 탐지 및 방지시스템(IDS/ICS), 악성코드를 포함한 웹사이트 취약점 보호, 웹 게이트웨이 솔루션 등을 포함한다.

- 모든 민감한 데이터는 암호화하는 보안 정책을 적용해야 한다. 고객 데이터의 암호화도 물론이다. 이것으로 조직 내부의 잠재적인 정보 유출 피해를 줄일 수 있다.

- 주변 기기에 서버 메시지 블록(SMB) 출구 트래픽 필터링을 탑재해 SMB 트래픽이 네트워크를 벗어나, 인터넷으로 나가는 것을 방지해야 한다.

- 낯선 발신자의 이메일과 요청하지 않은 첨부 파일 수신 시, 각별히 주의할 수 있도록 스피어 피싱 이메일의 위험성에 대해 직원들을 교육해야 한다. 시만텍은 이메일 기반 위협을 차단하는 시만텍 이메일 시큐리티 닷 클라우드, 엔드포인트에서 악성코드를 차단하는 시만텍 엔드포인트 프로텍션(SEP) 등을 통해 이메일로 유입되는 위협으로부터 보호한다. 시만텍 메시징 게이트웨이의 해제 기술도 첨부 문서가 사용자에게 도달하기 전, 문서 내 악성 콘텐츠를 제거해 위협으로부터 보호한다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  시만텍, 에너지, 드래곤플라이, APT, 사이버 공격
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr