에너지 산업분야 겨냥한 드래곤플라이(Dragonfly) 공격 재개

756

2017년 09월 11일

에너지 산업분야 겨냥한 사이버 공격의 재등장… 사이버 사보타주 가능성

시만텍이 에너지 산업분야를 겨냥한 사이버 스파이 그룹 드래곤플라이(Dragonfly)의 공격이 새로운 양상으로 다시 확산되고 있다고 밝히고, 주의를 당부했다.

최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버 공격은 심각한 타격을 입힐 수 있는 공격으로, 이 공격의 배후 그룹은 드래곤플라이(Dragonfly)로 알려졌다. 적어도 2011년부터 활동한 드래곤플라이 공격 그룹은 2014년 그 실체가 드러난 이후 한동안 조용했다가, 최근 2년 사이 다시 등장하고 있다. 드래곤플라이 2차 공격은 2015년 말에 시작된 것으로 보이며, 이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다.

시만텍의 조사에 따르면, 이른 바 ‘드래곤플라이 2.0’ 공격은 올해 뚜렷하게 증가했다. 시만텍은 미국, 터키, 스위스 소재 기업에서 드래곤플라이 공격 활동에 대한 강력한 징후를 확보하고, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다. 과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키의 기업을 겨냥한 공격이 크게 증가한 것으로 나타났다.

드래곤플라이 2.0 공격은 초기의 공격 형태와 유사하게 피해자의 네트워크에 접근하기 위해 ▲악성 이메일 ▲워터링홀(watering hole) 공격▲트로이목마 탑재 소프트웨어 등 다양한 공격 방식을 구사하고 있다. 재등장한 드래곤플라이의 공격에서 시만텍이 가장 먼저 탐지한 공격은 2015년 12월 송년 파티 초대장으로 위장한 악성 이메일을 에너지 분야와 관련된 타깃에게 보낸 공격이었다. 또한, 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다. 이후 탈취한 자격증명 정보는 타깃 조직을 겨냥한 백도어 설치 등 후속 공격에 사용되었다. 2016년과 2017년 공격에서 드래곤플라이 그룹은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 쉘터(Shellter)를 이용하고 있다. 또한, 시만텍은 드래곤플라이 그룹이 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해하는 것도 확인했다.

드래곤플라이 그룹이 겨냥한 ‘에너지 산업’ 분야는 지난 2년간 사이버 공격자들의 관심이 증가한 영역이다. 2015년과 2016년 가장 주목을 끌었던 우크라이나 전력 시스템 중단은 사이버 공격이 원인이었고, 수 십만 주민에게 영향을 미친 정전사태로 이어졌다. 최근에는 일부 유럽 국가에서 전력망에 대한 공격을 시도했다거나 미국 원자력 발전소를 관리하는 기업이 해킹을 당했다는 보도도 있었다. 드래곤플라이 그룹은 에너지 시설의 운영방식을 배우고, 운영시스템 자체에 접근하는 것에 관심이 있는 것처럼 보이기 때문에 이러한 운영시스템을 파괴하거나 제어할 가능성도 배제할 수 없다.

사이버 사보타주의 가능성

원래의 드래곤플라이 캠페인은 공격자가 목표로 삼은 조직의 네트워크에 단순히 접근하고자 하는 ‘탐색 단계’였던 것에 불과한 것으로 보인다. 그런데 최근의 공격 캠페인들이 더욱 파괴적인 목적 달성을 위해 운영체제에 접근했을 가능성을 감안하면, 새로운 단계의 공격에 돌입할 가능성이 있음을 시사하고 있다.

이번에 확인된 드래곤플라이 공격에서 가장 주목해야 할 부분은 공격자들의 화면 캡쳐 활용이다. 공격자들이 [기기 설명 및 위치], [조직명] 등 구분이 용이한 포맷을 활용해 화면 캡쳐 파일을 표시하는 특정 사례가 포착됐다는 것이다. 다수의 기기 설명에 사용된 문자열 “cntrl”은 해당 기기들이 운영체제에 접근이 가능하다는 것을 명시하고 있는 것으로 보인다.

윤광택 시만텍코리아 CTO는 “윤광택 시만텍코리아 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며, “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고, 보안패치를 적용해야 할 것”이라고 당부했다.

아이씨엔 오윤경 기자 news@icnweb.co.kr

시만텍은 이러한 사이버공격에 대응하기 위해 다음과 같은 보안 수칙을 권장한다.

* 드래곤플라이는 네트워크 침해를 위해 탈취한 자격 증명에 크게 의존한다. 따라서 높은 권한이 부여된 중요한 암호는 숫자와 문자를 혼합하여 최소 8-10자 또는 그 이상으로 하는 것이 좋다. 사용자는 다수의 웹사이트에서의 동일한 암호를 반복적으로 사용하지 않고, 타인과 암호를 공유하는 것은 절대 금해야 한다. 사용하지 않는 프로필이나 자격 증명은 삭제하고 관리자 수준의 프로필 생성은 한정해야 한다. 시만텍 VIP 등 이중 인증을 도입해 보안을 한 단계 높여 공격자가 탈취한 자격 증명을 사용하는 것을 막아야 한다.

* 특정 기술이나 보호 방법에서 단일 지점 오류를 대비해 상호보완적인 다중 보안 체계가 중요하다. 이는 네트워크 전반에 주기적으로 업데이트되는 방화벽, 게이트웨이 백신, 침입 탐지 및 방지시스템(IDS/ICS), 악성코드를 포함한 웹사이트 취약점 보호, 웹 게이트웨이 솔루션 등을 포함한다.

* 모든 민감한 데이터는 암호화하는 보안 정책을 적용해야 한다. 고객 데이터의 암호화도 물론이다. 이것으로 조직 내부의 잠재적인 정보 유출 피해를 줄일 수 있다.

* 주변 기기에 서버 메시지 블록(SMB) 출구 트래픽 필터링을 탑재해 SMB 트래픽이 네트워크를 벗어나, 인터넷으로 나가는 것을 방지해야 한다.

* 낯선 발신자의 이메일과 요청하지 않은 첨부 파일 수신 시, 각별히 주의할 수 있도록 스피어 피싱 이메일의 위험성에 대해 직원들을 교육해야 한다. 시만텍은 이메일 기반 위협을 차단하는 시만텍 이메일 시큐리티 닷 클라우드(Symantec Email Security.cloud), 엔드포인트에서 악성코드를 차단하는 시만텍 엔드포인트 프로텍션(SEP) 등을 통해 이메일로 유입되는 위협으로부터 보호한다. 시만텍 메시징 게이트웨이(Symantec Messaging Gateway)의 해제 기술도 첨부 문서가 사용자에게 도달하기 전, 문서 내 악성 콘텐츠를 제거해 위협으로부터 보호한다.