요약 : 보안 외신 해커뉴스에 의하면 작년 덴마크의 에너지 분야를 겨냥한 사이버 공격의 배후 세력을 알아내는 것이 점점 더 어려워지고 있다고 한다. 이는 2023년 5월에 발생한 사건에 관한 것으로, 당시 두 번의 대대적인 공격이 있었고 덴마크 에너지 산업 내 22개 조직들이 공격의 대상이었다. 첫 번째는 자이젤 방화벽의 취약점인 CVE-2023-28771을 익스플로잇 하는 것이, 두 번째는 미라이 봇넷의 변종을 퍼트리는 것이 주요 특징이었다. 두 번째 공격의 경우, 아직 최초 침투 방법에 대해 알려진 바가 없다. 두 공격 사이에는 약 열흘 간의 공백기가 있었고, 현재는 사라진 사이클롭스블링크(Cyclops Blink)라는 봇넷의 C&C 서버가 연루되어 있었다. 보안 업체 포스카웃(Forescout)은 이 두 캠페인에는 연관성이 없으며 국가가 지원하는 해커들이 배후에 있을 가능성도 낮아 보인다고 한다.


배경 : 이 사건은 덴마크의 에너지 분야 내 22개 조직을 한꺼번에 노린 공격으로, 일부 보안 전문가들 사이에서 “러시아가 범인”이라는 의혹이 나왔었다. 하지만 최근 조사를 통해 포스카웃이 발견한 바에 따르면 자이젤 방화벽을 무차별적으로 익스플로잇 하려는 시도가 광범위하게 있었고, 이것이 덴마크 에너지 산업을 겨냥한 공격으로 이름이 붙은 채 공개되었기 때문에 마치 국가 기반 시설을 겨냥한 공격처럼 보인 것이라고 한다.

말말말 : “공격자들이 활동을 시작한 건 2023년 2월부터일 수도 있습니다. CVE-2020-9054, CVE-2022-30525, CVE-2023-28771 등의 취약점들도 연루되어 있는 것으로 보이기도 합니다. 조사하면 할수록 공격이 광범위하게 진행됐고, 덴마크 에너지 산업은 피해자의 일부에 불과한 것으로 파악됩니다.” -포스카웃-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>