러시아 배후 공격그룹, 미국·우크라이나 스파이 활동 벌여
상태바
러시아 배후 공격그룹, 미국·우크라이나 스파이 활동 벌여
  • 김선애 기자
  • 승인 2019.02.11 14:31
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “소파시·그레이에너지, 동일 공격 조직일 가능성 포착”

러시아가 배후에 있을 것으로 의심되는 사이버 스파이조직 ‘소파시(Sofacy)’와 ‘블랙에너지(BlackEnergy)’의 후계자일 것으로 추측되는 ‘그레이에너지(GreyEnergy)’에 연관관계가 있을 것이라는 정황이 제기됐다. 소파시는 미국·유럽을 대상으로 사이버 스파이 활동을 했으며, 블랙에너지는 우크라이나 전력시설을 파괴해 대규모 정전사태를 일으킨 조직으로 알려진다.

카스퍼스키랩은 이 두 조직의 연관성을 입증하는 증거가 발견됐다고 11일 밝혔다. 그레이에너지가 악성코드를 사용해 우크라이나 기업과 중요 인프라를 공격했는데, 블랙에너지와 공격도구, 방법 등이 유사해 블랙에너지의 뒤를 잇는 그룹이 그레이에너지일 것으로 추측된다.

카스퍼스키랩 조사에서 우크라이나와 스웨덴에서 악성코드가 호스팅된 서버 2대를 찾아냈으며, 그레이에너지와 소파시가 지난해 6월 같은 시기에 해당 서버를 사용한 것으로 드러났다. 그레이에너지는 피싱 공격에서 악성 파일을 보관하는 용도로 서버를 사용했다. 사용자가 피싱 이메일에 첨부된 텍스트 문서를 열면 서버의 악성 파일이 다운로드됐다.

소파시는 자체 악성 코드의 명령 및 제어 센터로 사용했다. 두 조직 모두 비교적 짧은 기간 서버를 사용했으므로 사용 시기가 같다는 기막힌 우연의 일치로 보아 이들은 인프라를 공유하고 있는 것으로 추정된다.

이러한 가설은 두 조직 모두 스피어 피싱 이메일을 사용해 일주일에 한 기업씩 공격하는 행태가 관찰되었다는 사실로 더욱 확실해졌다. 또한 두 조직 모두 유사한 피싱 문서, 즉 카자흐스탄 에너지부에서 보낸 이메일로 위장한 피싱 문서를 사용했다는 점도 주목할 만하다.

이창훈 카스퍼스키랩코리아 지사은 “이 두 조직이 감염된 인프라를 공유한다는 사실은 단순히 러시아어를 사용한다는 공통점을 넘어 서로 협력 관계라는 사실을 말해주는 가능성도 있다. 이를 통해 이들이 협공 능력을 갖추고 있음을 알 수 있으며 목적과 잠재적 공격 목표도 더욱 뚜렷하게 확인할 수 있다”고 말했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.