• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

오래된 시스코 라우터 통해 에너지 분야 공격한 해커들 2018.03.20

국가 후원 단체가 라우터 공격하는 건 흔치 않은 일
앞으로 계속될 트렌드일까?...라우터 공격 성공하면 탐지 어려워져

[보안뉴스 문가용 기자] 국가가 지원하는 해커들이 오래된 네트워크 라우터를 노리는 사건이 또 한 차례 발생했다. 물론 라우터 자체가 목적이 아니라, 라우터를 통해 에너지 분야 단체들을 노리는 것이 궁극적 목적이었다. 공격 행위자는 러시아의 APT 그룹인 드래곤플라이 2.0(DragonFly 2.0)이었다고 한다.

[이미지 = iclickart]


이러한 공격 행위는 보안 업체 사일런스(Cylance)가 발표했다. 드래곤플라이가 최근 베트남에서 가장 큰 석유 관련 국영 기업에 있던 시스코 네트워크 라우터를 공격해 사용자 크리덴셜을 훔치고, 이를 통해 영국의 에너지 기업들에도 침투하는 데 성공했다는 내용이다. 이런 일은 지난 해 3월에 발생했다고 사일런스는 밝혔다.

이 사건에 연루된 시스코 라우터는 이미 생산이 중단된 모델로 보안 업데이트 지원이 더 이상 이뤄지지 않는 기종이었다. 훔친 크리덴셜이 에너지 부문으로의 공격에 가장 중요하게 작용했다고 사일런스는 밝히고 있다.

하지만 공격의 모든 ‘퍼즐’ 조각이 맞춰진 것은 아니라고 사일런스는 말한다. “아직 라우터 자체를 어떤 식으로 공격했는지, 그리고 공격자들이 베트남 기관으로부터 영국으로까지 어떤 식으로 공격을 연계시켰는지는 아직 아무도 모릅니다.” 또한 사일런스의 위협 첩보 책임자인 케빈 리벨리(Kevin Livelli)는 “공격에 당한 베트남 업체와 영국 업체들 간의 관계 역시 알 수가 없다”며 “사일런스 자체 조사로는 둘 사이에 연결고리가 없었다”고 또 다른 의문점을 드러낸다.

“아마 대단위 공격의 일부만 제한적으로 드러난 것으로 보입니다. 커다란 그림 안에 베트남 국영기업과 영국 기업들이 있다는 점 외에 둘 사이에 연결고리가 없을 수도 있어요. 그렇다면 단기간의 조사로서 실태를 다 파악하기가 힘들죠.”

또한 리벨리는 “공격을 조사하다가 유인용 문건을 발견했다”고 밝히기도 했다. “멀웨어 샘플의 해시 중 하나에 엠베드 되어 있었습니다. 영국 에너지 부문에 종사하는 사람들을 겨냥한 악성 문건들이었습니다.” 이 문건을 누군가 열게 되면 그 사람은 침해된 라우터로 연결되고, 이 라우터는 연결된 사용자를 암호화된 크리덴셜을 통해 자동으로 악성 SMB 서버로 연결시킨다. “사용자가 크리덴셜을 입력하면 곧바로 라우터가 이를 채취해가지요.”

미국의 CERT와 FBI는 지난 주 러시아 정부가 드래곤플라이(DragonFly) 공격의 배후에 있다고 공식적으로 발표했다. 이런 식의 발표는 매우 드문 일로, 당시 두 기관은 “러시아의 해커들이 에너지, 핵, 상업, 상수도, 항공, 생산 분야를 노리고 적극 공격을 감행 중에 있다”고 강력하게 주장했다.

라우터 공격 자체는 그리 드문 일이 아니지만, 국가 지원 단체들이 라우터 기기를 노골적으로 노리고, 이를 통해 대규모 캠페인을 발전시켜 가는 건 흔치 않은 일이다. 그런 일이 이번 달에만 두 번이나 연속으로 발생했다. 이번 달 초 카스퍼스키가 아프리카와 중동에서 사용되고 있는 마이크로틱(MikroTik) 라우터들이 공격당하고 있다는 보고서를 발표한 바 있다. 이 사건의 공격자들은 슬링샷(Slingshot)이라는 영어 구사 해킹 단체로 보인다. 슬링샷 역시 국가의 후원을 받는 단체인 것으로 알려져 있다.

사일런스의 리벨리는 “라우터부터 공격을 시도한다는 건 공격자의 기술력이 뛰어나다는 걸 방증한다”고 설명한다. “네트워크의 핵심을 차지하는 라우터의 경우, 공격에 성공하기만 하면 방어자 입장에서 들키지 않고 각종 공격을 감행할 수 있게 됩니다. 포렌식 기술을 동원한 수사도 힘들어져요. 하지만 그만큼 어려운 일이죠. 그런데 이런 일이 이번 달에만 두 번 일어났어요. 공격자들의 수준이 그만큼에 미쳤다는 것이고, 이는 매우 심각한 일이 될 수 있습니다.”

한편 보안 업체 크라우드스트라이크(CrowdStrike)는 드래곤플라이 2.0을 버저크 베어(Berserk Bear)라고 부르며 추적해왔다. “2017년 여름 즈음 크라우드스트라이크는 버저크 베어가 크리덴셜을 수집하기 위한 대규모 공격을 펼치고 있는 걸 발견했습니다. 당시도 라우터가 주요 공격 대상이었습니다. 하지만 요즘 공격자들은 라우터 공격법을 충분히 체득한 상태고, 단순히 ‘라우터를 공격했다’는 점만으로 범인을 지목하기가 쉬운 건 아닙니다.”

본의 아니게 공격의 시발점이 된 장비를 만든 시스코 측은 대변인을 통해 “아주 오래된 장비들이 공격 대상이 되었으며, 취약점을 통해 공격이 들어온 것도 아니”라고 발표했다. “공격자들은 라우터의 관리자 크리덴셜을 소셜 엔지니어링 등으로 훔치거나 물리적으로 접근하여 탈취하는 데 성공한 이후 라우터에 침투할 수 있었던 것으로 보입니다. 이러한 공격 시나리오는 시스코가 해당 장비 고객들에게 항상 주지시켜 왔던 것이기도 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>