[데이터넷] 오미크론 변이 바이러스가 전 세계를 강타하면서 코로나19 백신과 치료제의 시급성이 요구되는 가운데, 바이오 제조 기업을 대상으로 한 사이버 스파이 활동이 포착돼 긴장도를 한층 높이고 있다.

클래로티는 블로그에서 바이오 생산기업을 집중 공격하는 다형성 멀웨어 ‘타디그레이드(Tardigrade)’의 위험성에 대해 경고했다. 바이오경제정보공유분석센터(BIO-ISAC)가 조사한 타디그레이드는 올해 봄과 10월 10월 두 곳에서 침해 행위가 발견됐으며, 보안 탐지를 피하기 위해 환경에 따라 코드를 바꾸도록 설계돼 있다.

이 멀웨어를 분석한 바이오브라이트(BioBright) 연구원은 이 멀웨어를 수십번 테스트했는데, 매번 다르게 컴파일되고 명령 및 제어 서버와 통신했다고 밝혔다. 백도어 접근이 차단된다 해도 악성코드는 계속 페이로드를 배포한다고 설명했다.

타디그레이드는 피싱메일, 감염된 USB를 통해 유포되며, 스모크로더(SmokeLoader) 또는 도포일(Dofoil) 멀웨어 로더를 사용해 키로거, 암호 도용 유틸리티를 포함한 손상된 시스템에 악성 모듈을 주입한다. 그리고 백도어 연결을 생성하고 공격자 서버에서 파일과 명령을 다운로드하며, 추가 공격 모듈을 배치하고, 네트워크에 은닉한다.

바이오브라이트는 이 멀웨어는 스파이 활동을 위해 유포되고 있으며, 특정 정부의 후원을 받는 APT 그룹의 소행이라고 추정하고 있다.

스모크로더는 10년동안 지하포럼에서 활용됐으며, 암호화폐 채굴과 데이터 유출 공격을 포함한 수많은 공격과 연관돼있다. 손상된 네트워크에서 지속할 수 있는 수많은 플러그인으로 무장돼 있으며, 악성 프로그램을 변형시키는 도구와 가상머신을 인지해 탐지를 회피하는 프로세스를 포함하고 있다. 타디그레이드가 사용한 스모크로더는 이전 버전보다 자율성이 뛰어나고, 내부 논리에 따라 수평이동이나 파일 조작을 스스로 결정할 수 있다.

클래로티는 이 멀웨어 분석 결과를 소개하면서 “코로나19 백신과 치료제와 관련된 정보, 제조 시스템을 노리는 악성활동이 증가하고 있다. 타디그레이드와 같은 스파이 활동은 백신 관련 민간 연구 결과를 훔쳐 자국의 연구개발 시간과 비용을 줄일 수 있다”며 “의약품, 백신, 기타 응용분야 생산에 사용되는 산업 네트워크를 즉시 검사하고 조치를 취해야 한다”고 강조했다.

클래로티는 바이오 제조기업은 물론이고, OT 환경을 운영하는 조직에 대해 다음과 같은 조치를 권고했다.

• 바이오 제조 OT 환경내 타디그레이드 감염 지표에 대한 네트워크 가시성 확보
• 바이오 제조 환경에 대한 OT 네트워크 세분화를 통해 악성코드 확산 차단. 특히 IT와 OT의 접점보호 대책 마련
• OT 네트워크 세분화 시 엔지니어링 및 프로세스 성격에 맞게 특화된 영역(Zone) 별 정책을 허용하는 가상 존(Virtual Zone) 모니터링 포함. 트래픽·OT별 프로토콜 검사 기능으로 비정상적인 동작 방어
• OT 원격 액세스 가시성 필수. 이러한 연결은 비정상적인 활동에 대해 모니터링·감사 필수. 암호 공유는 권장하지 않으며 이중 인증 활성화해야 함.
• 보안 원격 액세스 솔루션으로 의심스러운 활동 탐지하며, 실시간으로 관리자에 의한 세션 강제 차단 등 실질적인 대응 방안 제공.
• BIO-ISAC은 바이오 제조 장비를 위한 래더(Ladder) 로직, SCADA, 히스토리안 구성, 배치 기록 시스템을 포함하여 인프라의 주요 세그먼트에 대한 백업 권고함

김선애 기자 다른기사 보기