“에너지 산업분야 노린 사이버공격 확산”

2017.09.08 15:33:30 / 최민지 cmj@ddaily.co.kr

[디지털데일리 최민지기자] 시만텍은 에너지 산업분야를 겨냥한 사이버 스파이 그룹 ‘드래곤플라이(Dragonfly)’의 공격이 새로운 양상으로 다시 확산되고 있다고 8일 밝혔다.

최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버공격은 심각한 타격을 입힐 수 있는 방식으로, 배후 그룹은 드래곤플라이(Dragonfly)로 알려졌다.

2011년부터 활동한 드래곤플라이 공격그룹은 2014년 실체가 드러난 이후 한동안 조용했다가, 최근 2년 사이 다시 등장하고 있다. 드래곤플라이 2차 공격은 2015년 말에 시작된 것으로 보이며, 이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다.

시만텍 조사에 따르면, 이른바 ‘드래곤플라이 2.0’ 공격은 올해 뚜렷하게 증가했다. 시만텍은 미국·터키·스위스 소재 기업에서 드래곤플라이 공격 활동에 대한 강력한 징후를 확보하고, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다.

과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키 기업을 겨냥한 공격이 크게 늘었다.

드래곤플라이 2.0 공격은 초기의 공격 형태와 유사하게 피해자의 네트워크에 접근하기 위해 ▲악성 이메일 ▲워터링홀(watering hole) 공격 ▲트로이목마 탑재 소프트웨어 등 다양한 공격 방식을 구사하고 있다.

시만텍은 지난 2015년 12월 송년 파티 초대장으로 위장한 악성 이메일을 발견했는데, 이는 에너지 분야와 관련된 타깃에게 보낸 공격이었다. 또한, 이들은 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다. 이후 탈취한 자격증명 정보는 타깃 조직을 겨냥한 백도어 설치 등 후속 공격에 사용됐다.

지난해와 올해 공격에서 드래곤플라이 그룹은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 쉘터(Shellter)를 이용하고 있다. 시만텍은 드래곤플라이 그룹이 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해하는 것도 확인했다.

시만텍은 이들 해킹그룹이 에너지 시설의 운영방식을 배우고, 운영시스템 자체에 접근하는 것에 관심이 있는 것처럼 보이기 때문에 운영시스템을 파괴하거나 제어할 가능성도 배제할 수 없다고 설명했다. 

윤광택 시만텍코리아 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며 “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고, 보안패치를 적용해야 할 것”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
배너
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
배너
  • 동영상
  • 포토뉴스
삼성전자, 방사선 줄인 엑스레이 소재 개발 삼성전자, 방사선 줄인 엑스레이 소재 개발
  • 삼성전자, 방사선 줄인 엑스레이 소재 개발
  • GSMA도 韓기업도 ‘고심’…카탈루냐 독립…
  • [사진] 571돌 한글날, 지금 광화문에선 공병…
  • 갤노트8, 중남미 공략 시동…21일 브라질 시판