• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

그레이에너지와 제브로시라는 위협 사이에 연관성 발견됐다 2019.01.25

ICS 등 주로 공격한 그레이에너지, 블랙에너지의 후속으로 등장한 단체
제브로시는 소파시와 같은 러시아 공격 단체가 주로 사용해온 멀웨어

[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)의 산업 통제 시스템 컴퓨터 침해 사고 대응 팀(ICS CERT)이 그레이에너지(GreyEnergy)와 제브로시(Zebrocy)라는 멀웨어 사이에서 연관성을 발견했다. 둘 다 러시아 정부와 관련이 있는 것으로 알려져 있는 악성 프로그램들이다.

[이미지 = iclickart]


그레이에너지는 악명 높은 해킹 단체인 블랙에너지(BlackEnergy)의 뒤를 잇는 그룹으로 보이고 약 3년 동안 활동해온 것으로 알려져 있다. 그레이에너지는 에너지 및 운송 분야의 여러 조직들을 계속해서 노리고 정찰 활동을 펼쳐왔는데, 피해자들은 대부분 우크라이나와 폴란드에 분포해 있다.

그레이에너지는 모듈 구성의 멀웨어인 그레이에너지를 주로 사용했는데, 따라서 다양한 기능의 공격을 수행할 수 있었다. 백도어를 심고, 데이터를 훔치는 기능을 여러 가지로 발휘하며 피해 조직을 공격한 것이다. 그레이에너지는 현재까지 ICS와 SCADA만 노리고 공격을 했지만, 그레이에너지가 사용하는 멀웨어와 각종 모듈이 산업 시스템만 노릴 수 있는 건 아니다.

제브로시는 소파시(Sofacy), APT28, 팬시베어(Fancy Bear), 폰스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium) 등의 이름으로 알려져 있는 러시아의 해킹 단체가 주로 사용하는 트로이목마다. 중동, 아시아, 유럽의 여러 조직들을 노리는 공격에서 발견됐다.

그런데 카스퍼스키에 의하면 그레이에너지와 제브로시가 활발하게 사용된 시기가 겹치고 공격 대상도 겹친다고 한다. 또한 두 멀웨어 모두 특정 추가 요소를 같은 C&C 서버의 IP 주소로부터 다운로드 받는 것도 발견해냈고 한다. “이 IP 주소들은 우크라이나와 스웨덴의 서버들에 배당되어 있던 것이었습니다.”

카스퍼스키에 의하면 그레이에너지와 제브로시 모두 카자흐스탄의 여러 산업 기관들을 표적으로 삼아 공격한 바 있기도 하다. 이 중 한 곳은 스피어피싱 문건을 2018년 6월 21일에 받았고, 1주일 후 제브로시가 탑재된 스피어피싱 문건을 추가로 받기도 했다. 가짜 문건도 유사한 부분이 많았고, 두 메일 전부 카자흐스탄의 국가 에너지산업부에서 온 것처럼 위장되어 있었다.

“그레이에너지의 출처에 대한 직접적인 증거가 있는 건 아닙니다. 하지만 제브로시와의 연관성을 의심해볼 만한 내용은 여러 가지가 발견됐습니다. 아무래도 그레이에너지와 소파시라는 단체들 간 관계성이 있다고 보입니다. 두 그룹 사이의 관련성은 이전에도 몇 차례 보고서로 나오기도 했습니다.” 카스퍼스키의 설명이다.

2018년 5월 FBI는 VPN필터(VPNFilter)라는 멀웨어를 사용한 공격이 러시아 해커들의 짓이라고 발표했다. 그러면서 소파시와 텔레보츠(Telebots, 혹은 샌드웜(Sandworm))의 협력 관계가 의심된다고도 주장했다. 텔레보츠 또한 블랙에너지의 또 다른 분파로 여겨지는 단체다.

카스퍼스키의 연구원인 마리아 가르네바(Maria Garnaeva)는 “두 공격자가 같은 공격 인프라를 사용하고 있으며, 러시아어를 구사하고 있다는 건 사실 의혹 이상을 제기할 수 있는 정도의 자료”라고 말했다. “같은 단체이거나 밀접한 협력 관계에 있는 단체가 분명하다고 봅니다.”

그러면서 가르네바는 “공격 단체들이 힘을 합칠 수 있고, 공동의 목표를 설정해 함께 움직일 수 있다는 건 그레이에너지나 소파시 그룹 하나하나가 가지고 있는 위험성을 뛰어 넘는 위협”이라고 설명을 이어갔다. “이런 공격자들의 움직임과 연대 상황을 알리고 퍼트리는 것부터가 대응의 첫 단추라고 생각합니다.”

3줄 요약
1. 그레이에너지, 산업 기관 주로 노리는 러시아의 공격 단체이자 멀웨어 이름.
2. 제브로시, 소파시라는 러시아 해킹 그룹과 관련이 있는 멀웨어.
3. 이 둘 사이에 여러 관련성이 발견됨. 공격자들의 연대 소식은 그 자체로도 이미 심각한 위협.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>