카스퍼스키랩, 2017년 1분기 APT 동향 발표

[보안뉴스 원병철 기자] 지난 2017년 1분기 동안 국가의 지원을 받는 사이버 공격의 정교함이 급격히 증가했으며 해커들의 관심이 점차 와이퍼(공격 흔적 삭제 툴)와 금융 범죄로 향하는 것으로 나타났다.


새롭게 발행된 카스퍼스키랩의 분기별 APT 트렌드 보고서에서는 두드러진 발전 양상을 보인 표적형 공격을 비롯해 기업 및 조직에서 경각심을 가져야 할 새로운 공격 트렌드를 조명했다. 이번 Q1 보고서의 내용은 카스퍼스키랩 전문가들이 해당 분기의 APT 해킹 활동을 관찰한 결과를 바탕으로 작성됐다. 2017년 Q1 보고서의 주요 내용은 다음과 같다.

△ 와이퍼사용 추세 : 사이버 사보타주 활동을 비롯하여 활동 이후 흔적을 삭제하고자 하는 용도로 표적형 공격 해커들이 와이퍼를 사용하고 있다. 새롭게 등장한 Shamoon 공격을 살펴보면 진화한 버전의 와이퍼가 사용되었다. 이후의 조사를 통해 StoneDrill이 발견되었고 그 코드는 해킹 조직인 NewsBeef(Charming Kitten)가 사용하는 코드와 유사하다는 사실도 드러났다. StoneDrill로 인한 피해는 대부분 유럽에서 발생했다.

△ 금융 범죄로 손을 뻗은 표적형 공격 : 오랜 시간 Lazarus 그룹을 추적한 결과 카스퍼스키랩은 BlueNoroff라고 불리는 하위 조직의 정체를 확인할 수 있었다. 이들은 폴란드의 중요 기관에 대한 공격을 비롯하여 다양한 지역의 금융 기관을 적극적으로 공격했다. 악명 높은 방글라데시 은행 강도 사건의 배후 또한 BlueNoroff가 유력한 용의자로 지목되고 있다.

△ 파일리스 악성 코드 : 파일리스 악성 코드는 표적형 공격 해커는 물론 일반적인 사이버 범죄자의 공격에도 이용되어 탐지를 피하고 포렌식 수사를 교란시키는 역할을 한다. 카스퍼스키랩의 전문가들은 Shamoon 공격과 동유럽의 여러 은행을 대상으로 하는 공격을 비롯하여 다른 수많은 APT 해킹 활동에 래터럴(Lateral-측면) 무브먼트 공격 툴이 사용된 사례를 발견했다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “표적형 공격 환경은 끊임없이 진화하고 있으며 점점 더 많은 공격자들이 치밀한 준비 과정을 통해 새로운 빈틈과 기회를 찾아 활용하고 있다. 이에 위협 인텔리전스의 활용이 더욱 중요해지고 있다. 위협 인텔리전스를 통해 기업은 문제를 빠르게 파악하고 그 대응책을 준비할 수 있다. 예를 들어, 1분기의 위협 동향을 살펴보면 파일리스 악성 코드 공격 방지를 위한 사건 대응 및 메모리 포렌식의 필요성을 비롯, 네트워크 전반에 걸쳐 비정상적 활동을 탐지할 수 있는 보안의 필요성을 느낄 수 있게 된다”라고 말했다.

카스퍼스키랩의 글로벌 위협 정보 분석팀은 현재 80여 개국의 일반 기업 및 정부 기관을 대상으로 수많은 해커와 교묘한 악의적 활동을 추적하고 있다. 2017년 1분기에 카스퍼스키랩은 포렌식 및 악성 코드 헌팅을 지원하는 IOC(침해 지표) 데이터 및 YARA 규칙을 비롯하여 33건의 보고서(카스퍼스키 인텔리전스 서비스 가입자 전용)를 제공했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>