지난 2009년부터 군사기관, 방위산업체, IT 업체 등을 타깃으로 진행되고 있는 ‘오퍼레이션 비터 비스킷(Operation Bitter Biscuit)’ 공격이 최근에는 우리나라 기관만을 상대로 진행되고 있는 것으로 분석됐다.
안랩 시큐리티대응센터(ASEC)는 16일 이 공격에 대한 분석 보고서를 발표하며 “2010년 최초로 발견된 오퍼레이션 비터 비스킷 공격이 한국, 일본, 인도 등의 방위산업체, 침해대응센터 등을 상대로 진행됐으나 최근에는 한국을 제외한 나머지 국가에서는 관련 공격이 확인되지 않았다”고 밝히며 “이 공격은 점점 고도화돼 지금까지도 꾸준히 지속되고 있으며, 군사기관, 방위산업체, IT 업체 등을 표적으로 삼고 있다”고 설명했다.
이어 이 보고서는 “공격자는 주로 국내 군사 기관에 대한 정보를 수집하기 위해 노력하고 있으며, 2013년부터는 국내 민간 업체와 방위산업체에 대해서도 공격을 확대하고 있다. 비소날 악성코드는 중국 언더그라운드에 소스코드가 공개돼 있다고 알려졌으나, 현재 확인된 공격 사례의 공격자들이 동일 그룹인지 여부 또한 불분명한 상태”라고 말했다.
안랩은 공격자들은 기술적으로 뛰어난 그룹은 아닌 것으로 확인됐지만, 약 10년 동안 국내 주요 기관을 노리고 지속적인 공격을 가하고 있어 앞으로도 더욱 강력한 보안 대책과 함께 각별한 주의가 요구된다고 지적했다.
ASEC에 따르면 공격자들은 비소날(Bisonal), 덱스비아(Dexbia) 등의 악성코드를 이용하며, 2011년부터 국내 기관에 공격을 집중했고, 2013년부터 2015년 국내 기업과 군사기관으로 확대, 2016년부터 2017년 사이에는 방산업체와 기업을 대상으로도 공격을 진행했다.
공격자는 문서 취약점을 이용하는 방식보다 문서로 위장한 악성 실행파일이나 악성 매크로를 포함한 문서를 이메일에 첨부하는 방식을 사용한다. 안랩이 3월 발견한 관련 공격은 ‘트럼프 행정부 출범과 한국의 안보전략’이라는 제목의 문서로 위장했으며, 악성 매크로가 삽입돼 있었다.
