[아이뉴스24 김국배기자] 에너지 산업 분야를 겨냥한 사이버 공격이 확산되면서 유럽, 북미 지역에 경고등이 켜졌다.
'드래곤플라이(Dragonfly)'라는 이름의 해킹 그룹이 배후로 지목된다.
시만텍은 올해 미국, 터키, 스위스 등의 소재 기업에서 드래곤플라이의 새로운 공격 활동 흔적을 파악했다고 8일 발표했다. 이른바 '드래곤플라이 2.0' 공격이다.
시만텍은 드래곤플라이가 적어도 2011년부터 활동한 것으로 분석한다. 2014년 실체가 드러난 이후 한동안 잠잠하다가 최근 2년새 다시 등장하고 있다.
특히 이번에 발견된 공격에서는 터키 기업을 노린 공격이 크게 증가한 것으로 나타났다. 미국과 터키는 과거 초기 표적 국가이기도 했다.
시만텍 측은 "드래곤플라이 2차 공격은 2015년말 시작된 것으로 보인다"며 "이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다"고 설명했다.
드래곤플라이 2.0 공격은 초기 공격 형태와 유사하게 피해자 네트워크에 접근하기 위해 악성 이메일, 워터링홀(watering hole) 공격, 트로이목마 탑재 소프트웨어 등의 다양한 공격 방식을 구사하고 있다.
재등장한 드래곤플라이 공격에서 시만텍이 가장 먼저 탐지한 건 2015년 12월 송년 파티 초대장으로 위장해 에너지 분야 관련 공격 목표 대상에 보낸 악성 이메일이다.
또한 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다. 이 정보는 타깃 조직을 조준한 백도어 설치 등 후속 공격에 쓰였다.
작년과 올해 공격에서 드래곤플라이 조직은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 '쉘터(Shellter)'를 이용하고 있다. 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해한다.
시만텍 관계자는 "드래곤플라이 그룹은 에너지 시설의 운영방식을 배우고, 운영시스템 자체에 접근하는 것에 관심이 있는 것으로 보인다"며 "운영시스템을 파괴하거나 제어할 가능성도 배제할 수 없다"고 말했다.
◆사이버 사보타주 가능성
특히 드래곤플라이의 최근 공격이 파괴 목적을 위해 운영체제에 접근했을 가능성을 감안한다면 새로운 단계의 공격에 돌입할 가능성을 시사한다고 시만텍은 분석했다.
원래 드래곤플라이 그룹은 목표로 삼은 조직 네트워크에 단순히 접근하고자 하는 탐색 단계에 불과한 것으로 보였다.
이번에 확인된 드래곤플라이 공격에서 가장 주목해야 할 부분은 공격자들의 화면 캡쳐 활용이다.
공격자들이 '기기 설명 및 위치', '조직명' 등 구분하기 쉬운 포맷을 활용해 화면 캡쳐 파일을 표시하는 특정 사례가 포착됐기 때문이다. 다수의 기기 설명에 사용된 문자열 'cntrl'은 해당 기기들이 운영체제에 접근할 수 있다는 점을 명시하는 것으로 보인다.
윤광택 시만텍코리아 최고기술책임자(CTO)는 "드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업 네트워크에 접근해왔다"며 "공격 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성이 엿보인다"고 말했다.
이어 "국내 기업들도 피해를 입지 않도록 항상 최신 상태로 SW를 업데이트하고, 보안패치를 적용해야 할 것"이라고 당부했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기