“알려지지 않은 공격그룹, 무기 생산기업 정보 빼내”
상태바
“알려지지 않은 공격그룹, 무기 생산기업 정보 빼내”
  • 김선애 기자
  • 승인 2022.11.28 17:07
  • 댓글 0
이 기사를 공유합니다
해커, 유럽 미사일 제조사 MBDA·NATO·이탈리아 국방부 기밀정보 유출하고 협박
북한, 미국·유럽·남미로 세력 확장…위협 인텔리전스로 대응해야

[데이터넷] 세계 정세가 ‘신냉전’ 시대로 접어들면서 국가간 갈등이 극에 달하고 있는 가운데, 알려지지 않은 새로운 사이버 공격그룹이 유럽 무기 생산업체의 정보를 빼낸 사실이 알려졌다.

카스퍼스키의 ‘2022년 3분기 APT 위협 보고서(APT Trends Report Q3 2022)’에서는 스스로를 사이버 보안 전문가와 연구자들의 독립적인 그룹이라고 소개한 아다스트레아(Adastrea)라는 공격자가 유럽 미사일 제조회사 MBDA와 NATO, 이탈리아 국방부에 속한 60GB의 기밀 및 제한된 정보를 판매한다는 메시지를 두 개의 다크 웹 포럼에 올렸다. 그리고 500MB 규모의 필리핀 군사정보 자료를 공개했는데, 7월부터 47MB의 데모파일을 공유하면서 입수한 데이터의 가격을 논의할 것을 제안했다. MBDA는 이들의 협상에 응하지 않았는데, 일주일 후 이들은 다시 유출된 데이터의 새로운 증거를 게시했다.

북한, 우리나라 보안 SW 취약점 악용

이 보고서에서는 국가기반 공격자가 갈등 관계에 있는 특정 국가뿐 아니라 전 세계를 대상으로 공격 범위를 넓히고 있다고 설명했다. 우리나라와 미국, 일본을 집중 공격해 온 북한 배후 공격자들이 특히 최근 몇 년간 활동 범위를 넓혀, 유럽 전역으로 세력을 확대하고 있다고 밝혔다.

일례로 북한 배후 공격자로 알려진 안다리엘(Andariel)이 지난해 미국 의료 및 공중 보건(HPH) 부문을 타깃으로 마우이(Maui) 랜섬웨어 공격을 벌였으며, 북한을 대표하는 공격그룹 라자루스는 남아프리카와 브라질 방위산업체를 공격하고 있는 것이 드러났다.

보고서에서는 중요 공격그룹의 활동을 상세히 설명했으며, 특히 북한 기반 공격그룹의 행태에 대해 조사했다. 라자루스의 경우, 공격 대상에게 소셜미디어나 이메일을 통해 접근했고, 다양한 악성코드군을 조합해 공격을 진행했다. 우리나라 보안 프로그램 취약점을 이용해 악성코드를 유포하는가 하면, 레드팀 도구를 악용하기도 했다.

북한 관련 단체를 대상으로 공격하는 킴수키는 전 세계에 위치한 다양한 상업 호스팅 서비스로 다단계 C&C 서버를 구성해 추적을 회피한다. 이들은 파키스탄, 중국의 군사, 외교, 교육기관을 대상으로 공격하고 있으며, 취약한 오피스 스위트를 사용한다.

박성수 카스퍼스키 박성수 글로벌 위협 정보 분석팀(GReAT) 책임 보안 연구원은 “지난 3달 동안의 분석 결과에서 알 수 있듯 APT 공격 조직은 능숙하게 공격 도구를 제작하고 기존의 도구를 개선해 새로운 공격을 개시하고 있다. 이들의 공격은 정교하고 예측하기 어렵다. 그래서 그 어느 때보다도 경각심을 가지고 위협 인텔리전스와 적절한 도구를 갖추고 기존 위협은 물론 새롭게 등장하는 위협까지 대비해야 한다”고 밝혔다.

카스퍼스키는 이러한 표적 공격에 대응하기 위한 조치로 다음을 제안했다.

  • SOC 팀에게 최신 위협 인텔리전스(TI)에 대한 접근 권한을 제공한다.
    카스퍼스키 위협 인텔리전스 포털(KTIP)은 TI를 이용할 수 있는 단일 접근 지점으로, 카스퍼스키에서 20년 넘게 수집한 사이버 공격 데이터와 분석 정보를 제공한다. 요즘처럼 불안한 시기에 기업이 효과적인 방어를 구축하는 데 도움을 주기 위해 카스퍼스키는 현재 발생하고 있는 사이버 공격과 위협에 대해 전 세계의 정보를 모아 지속적으로 업데이트하는 허브를 구축하여 무료로 개방할 것을 발표했다.
  • GReAT 전문가들이 개발한 카스퍼스키 온라인 교육을 통해 사이버 보안 팀의 역량을 향상시켜 최신 표적형 위협에 맞서 대응하기 위한 준비를 갖춘다.
  • 엔터프라이즈급 EDR 솔루션을 사용한다. 사건에 경고를 자동으로 결합하는 기능을 통해 수많은 경고 속에서 실제 위협을 탐지하는 것과 효율적인 방식으로 사건 분석 및 대응을 하는 것이 중요하다.
  • 필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 카스퍼스키 안티 표적 공격 플랫폼(ATAP)와 같은 비즈니스용 보안 솔루션을 구축한다.
  • 대다수의 표적형 공격이 피싱과 같은 사회공학적 기법을 사용하여 시작되므로 카스퍼스키 자동화된 보안 인식 플랫폼 등을 통해 직원들에게 보안 인식 교육을 실시하고 실용적인 공격 방지법을 알려준다.
Tag
#카스퍼스키
저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사