본문 바로가기 주메뉴 바로가기

사이버홍보실

최신뉴스

1년 동안 에너지 분야 공격한 해커들, 한국 기업들에 집중

admin 2021-07-09 조회수 550
에너지 분야가 지난 1년 동안 여러 사이버 정찰 공격에 노출되어 왔다는 사실이 드러났다. 그런데 가장 피해가 많이 발생한 곳은 한국이라고 한다. 피해 기업 중에는 극동방송국이라는, 에너지와 관련 없는 기업도 있어 연구원들을 더 헷갈리게 하고 있다.

[보안뉴스 문가용 기자] 독특한 사이버 정찰 캠페인이 발견됐다. 1년여 만에 이 캠페인을 적발한 보안 업체 인테저(Intezer)에 의하면, 공격자들은 악성 첨부파일이 붙은 스피어피싱 이메일을 통해 세계 여러 기업들과 조직들을 공략했고, 다양한 정찰용 도구들을 피해자들의 시스템에 심었다고 한다. 공격자들이 활용한 도구들은 에이전트 테슬라(Agent Tesla), 애조럴트(AZORult), 폼북(Formbook), 로키(Loki), 스네이크 키로거(Snake Keylogger) 등이라고 한다.

[이미지 = utoimage]


재미있는 건 공격자들의 표적이다. 가장 많은 피해를 입은 건 가스와 석유 등 에너지 산업 내 조직들이다. 여기에 IT, 제조, 미디어 분야 기업들도 일부 휘말려 들어가면서 공격에 노출되었다. 독일, UAE, 미국에서 주로 피해자들이 나타나고 있다. 그러나 공격자들이 처음부터 노렸던 건 엉뚱하게도 한국의 기업들인 것으로 분석되고 있다. 한국의 에너지 관련 공급자들이 이번 공격에 당했다고 하는데, 딱 한 군데가 다른 피해 조직들과 너무 다르다.

인테저는 자사 블로그를 통해 이 기업이 FEBC, 즉 극동방송국이라고 한다. 극동방송국은 기독교 계열의 라디오 방송을 하는 미디어 기업이다. 인테저는 여기에 더해 “종교가 금지된 이웃 나라들(특히 북한)에도 극동방송국의 전파가 전달된다”고 설명하고 있다. 이것이 공격자들의 숨은 의도를 가리키는 지점이 될 수 있다는 게 인테저의 설명이다. 하지만 공격자를 북한이라고 지칭하지는 않았다.

공격자들은 자신들이 공격하고자 하는 조직의 직원들을 겨냥해 스피어피싱 공격을 실시했다. 공격자들이 꽤나 광범위한 범위의 정찰 및 정보 수집을 사전에 실시한 것으로 보인다. 다만 보낸 사람의 주소에는 오타(표적이 되는 조직과 비슷하게 보이도록 만들어진)가 거의 늘 있는 편이라 주의 깊게 살펴보면 수상하다는 것을 알 수 있는 수준이라고 한다. 예를 들어 L을 대문자 I로 쓰는 등의 행위가 있었다는 것이다. 메일은 주로 파트너십 제안과 관련된 내용을 담고 있었다고 인테저는 설명한다.

이 가짜 이메일들에는 악성 파일이 첨부되어 있었다. 공격 표적이 되는 회사마다 이 파일은 이름과 유형이 조금씩 달라졌는데, 그 안에는 닷넷(.NET)으로 만들어진 멀웨어가 내포되어 있었다. 그리고 피해자의 눈에 보이는 최종 파일 형태는 PDF였다. 피해자가 이 가짜 문서를 더블클릭하면 악성 기능이 발동된다. 이 멀웨어는 파일레스(fileless) 기반으로 작동하기 때문에 일반 백신 도구로는 탐지가 어렵다고 한다.

이러한 공격 시나리오는 특별할 것이 없다. 하지만 공격자들은 피해자를 속이기 위해 주변 조사를 상당히 꼼꼼히 한 것으로 보인다. 피해 조직들마다 매우 그럴듯한 이메일을 받았다고 한다. 현대엔지니어링을 사칭해 메일을 보내기도 했는데, 이 때 실제 파나마에서 진행되고 있는 발전소 건립 프로젝트가 언급되기도 했다. 프로젝트의 파트너사로 초대할 테니 입찰을 하라는 내용이었다. 네덜란드 회사인 구스토MSC(GustoMSC)의 실제 풍력발전소 프로젝트가 사칭되기도 했었다. 중국의 CPECC와 아부다비의 BAB가 사칭된 사례도 있었다.

인테저는 공격자들이 석유와 가스 등 에너지 산업의 주요 플레이어들은 물론 B2B의 생리까지도 잘 이해하고 있는 것으로 보인다고 평가하고 있다. 이렇게까지 조사를 진행한 것으로 보아 공격자들의 원래 목표는 에너지 산업이라고 하는 게 타당하다. 동시에 극동방송국에 대한 공격을 함께 진행한 이유는 명확히 알 수 없는 상태다. 보통 에너지 산업을 노린다고 하면 중동의 기업들이 표적이 되는 사례가 많은데, 한국의 기업들이 이번 장기 캠페인의 표적이 된 이유도 아직 명확히 밝혀지지 않고 있다. 공격자들의 정체 역시 확실치 않다.

이번 인테저의 보고서는 공격자들의 집요하고 꼼꼼한 배경 조사와, 에너지 분야의 피해자들을 속이기 위한 여러 가지 노력들에 집중이 되어 있다. 북한과 한국의 관계나 극동방송국과 관련된 내용이 주로 다뤄지지는 않고 있다. 인테저 홈페이지(https://www.intezer.com/blog/research/global-phishing-campaign-targets-energy-sector-and-its-suppliers/)에서 접할 수 있다.

출처 :
https://www.boannews.com/media/view.asp?idx=98958