시만텍이 에너지 산업분야를 겨냥한 사이버 스파이 그룹 드래곤플라이(Dragonfly)의 공격이 새로운 양상으로 다시 확산되고 있다고 밝히고, 주의를 당부했다.
최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버 공격은 심각한 타격을 입힐 수 있는 공격으로, 이 공격의 배후 그룹은 드래곤플라이(Dragonfly)로 알려졌다. 적어도 2011년부터 활동한 드래곤플라이 공격 그룹은 2014년 그 실체가 드러난 이후 한동안 조용했다가, 최근 2년 사이 다시 등장하고 있다. 드래곤플라이 2차 공격은 2015년 말에 시작된 것으로 보이며, 이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다.
시만텍의 조사에 따르면, 이른 바 ‘드래곤플라이 2.0’ 공격은 올해 뚜렷하게 증가했다. 시만텍은 미국, 터키, 스위스 소재 기업에서 드래곤플라이 공격 활동에 대한 강력한 징후를 확보하고, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다. 과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키의 기업을 겨냥한 공격이 크게 증가한 것으로 나타났다.
드래곤플라이, 트로이목마 탑재된 애플리케이션 개발 위해 회피 프레임워크인 쉘터 이용
시만텍이 에너지 산업분야를 겨냥한 사이버 스파이 그룹 드래곤플라이(Dragonfly)의 공격이 새로운 양상으로 다시 확산되고 있다고 밝히고, 주의를 당부했다.
최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버 공격은 심각한 타격을 입힐 수 있는 공격으로, 이 공격의 배후 그룹은 드래곤플라이(Dragonfly)로 알려졌다. 적어도 2011년부터 활동한 드래곤플라이 공격 그룹은 2014년 그 실체가 드러난 이후 한동안 조용했다가, 최근 2년 사이 다시 등장하고 있다. 드래곤플라이 2차 공격은 2015년 말에 시작된 것으로 보이며, 이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다.
시만텍의 조사에 따르면, 이른 바 ‘드래곤플라이 2.0’ 공격은 올해 뚜렷하게 증가했다. 시만텍은 미국, 터키, 스위스 소재 기업에서 드래곤플라이 공격 활동에 대한 강력한 징후를 확보하고, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다. 과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키의 기업을 겨냥한 공격이 크게 증가한 것으로 나타났다.
드래곤플라이 2.0 공격은 초기의 공격 형태와 유사하게 피해자의 네트워크에 접근하기 위해 ▲악성 이메일 ▲워터링홀(watering hole) 공격▲트로이목마 탑재 소프트웨어 등 다양한 공격 방식을 구사하고 있다. 재등장한 드래곤플라이의 공격에서 시만텍이 가장 먼저 탐지한 공격은 2015년 12월 송년 파티 초대장으로 위장한 악성 이메일을 에너지 분야와 관련된 타깃에게 보낸 공격이었다.
또한, 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다. 이후 탈취한 자격증명 정보는 타깃 조직을 겨냥한 백도어 설치 등 후속 공격에 사용되었다. 2016년과 2017년 공격에서 드래곤플라이 그룹은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 쉘터(Shellter)를 이용하고 있다. 또한, 시만텍은 드래곤플라이 그룹이 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해하는 것도 확인했다.
드래곤플라이 그룹이 겨냥한 ‘에너지 산업’ 분야는 지난 2년간 사이버 공격자들의 관심이 증가한 영역이다. 2015년과 2016년 가장 주목을 끌었던 우크라이나 전력 시스템 중단은 사이버 공격이 원인이었고, 수 십만 주민에게 영향을 미친 정전사태로 이어졌다. 최근에는 일부 유럽 국가에서 전력망에 대한 공격을 시도했다거나 미국 원자력 발전소를 관리하는 기업이 해킹을 당했다는 보도도 있었다. 드래곤플라이 그룹은 에너지 시설의 운영방식을 배우고, 운영시스템 자체에 접근하는 것에 관심이 있는 것처럼 보이기 때문에 이러한 운영시스템을 파괴하거나 제어할 가능성도 배제할 수 없다.
원래의 드래곤플라이 캠페인은 공격자가 목표로 삼은 조직의 네트워크에 단순히 접근하고자 하는 ‘탐색 단계’였던 것에 불과한 것으로 보인다. 그런데 최근의 공격 캠페인들이 더욱 파괴적인 목적 달성을 위해 운영체제에 접근했을 가능성을 감안하면, 새로운 단계의 공격에 돌입할 가능성이 있음을 시사하고 있다.
이번에 확인된 드래곤플라이 공격에서 가장 주목해야 할 부분은 공격자들의 화면 캡쳐 활용이다. 공격자들이 [기기 설명 및 위치], [조직명] 등 구분이 용이한 포맷을 활용해 화면 캡쳐 파일을 표시하는 특정 사례가 포착됐다는 것이다. 다수의 기기 설명에 사용된 문자열 “cntrl”은 해당 기기들이 운영체제에 접근이 가능하다는 것을 명시하고 있는 것으로 보인다.
윤광택 시만텍코리아 CTO는 “윤광택 시만텍코리아 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며, “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고, 보안패치를 적용해야 할 것”이라고 당부했다.