보안

시만텍, 에너지기업 겨냥한 ‘드래곤플라이’ 공격 재개 경고

편집부 | ITWorld 2017.09.08
시만텍(www.symantec.co.kr)은 에너지 산업분야를 겨냥한 사이버 스파이 그룹 드래곤플라이(Dragonfly)의 공격이 새로운 양상으로 다시 확산되고 있다고 밝히고, 주의를 당부했다.

최근 유럽과 북미의 에너지 산업을 겨냥하고 있는 새로운 유형의 사이버 공격은 심각한 타격을 입힐 수 있는 공격으로, 이 공격의 배후 그룹은 드래곤플라이로 알려졌다. 적어도 2011년부터 활동한 드래곤플라이 공격 그룹은 2014년 그 실체가 드러난 이후 한동안 조용했다가, 최근 2년 사이 다시 등장하고 있다. 드래곤플라이 2차 공격은 2015년 말에 시작된 것으로 보이며, 이 그룹이 초기 공격에서 사용했던 전술과 수단을 그대로 사용하고 있다.

시만텍의 조사에 따르면, 이른바 ‘드래곤플라이 2.0’ 공격은 올해 뚜렷하게 증가했다. 시만텍은 미국, 터키, 스위스 소재 기업에서 드래곤플라이 공격 활동에 대한 강력한 징후를 확보하고, 다른 국가에서도 기업을 겨냥한 활동의 흔적을 파악했다. 과거 드래곤플라이 초기 공격 당시 미국과 터키는 표적이 된 국가이기도 했는데, 이번에 발견된 공격에서는 터키의 기업을 겨냥한 공격이 크게 증가한 것으로 나타났다.

드래곤플라이 2.0 공격은 초기의 공격 형태와 유사하게 피해자의 네트워크에 접근하기 위해 ▲악성 이메일 ▲워터링홀(watering hole) 공격 ▲트로이목마 탑재 소프트웨어 등 다양한 공격 방식을 구사하고 있다.

재등장한 드래곤플라이의 공격에서 시만텍이 가장 먼저 탐지한 공격은 2015년 12월 송년 파티 초대장으로 위장한 악성 이메일을 에너지 분야와 관련된 타깃에게 보낸 공격이었다. 또한, 산업 관련 종사자들이 방문할 가능성이 있는 웹사이트를 감염시키는 워터링홀 공격을 사용해 네트워크 자격증명을 탈취했다. 이후 탈취한 자격증명 정보는 타깃 조직을 겨냥한 백도어 설치 등 후속 공격에 사용되었다. 2016년과 2017년 공격에서 드래곤플라이 그룹은 트로이목마가 탑재된 애플리케이션을 개발하기 위해 회피 프레임워크인 쉘터(Shellter)를 이용하고 있다. 또한, 시만텍은 드래곤플라이 그룹이 피해자에게 악성코드를 전송하기 위해 적법한 소프트웨어를 침해하는 것도 확인했다.

시만텍코리아 윤광택 CTO는 “드래곤플라이 공격 그룹은 복합적인 공격 방법을 구사하며 에너지 기업의 네트워크를 겨냥해 접근해왔는데, 공격의 수준을 보면 이에 그치지 않고 사이버 사보타주로 발전할 가능성도 엿보인다”며, “국내 기업들도 피해를 입지 않도록 항상 최신 상태로 소프트웨어를 업데이트하고, 보안패치를 적용해야 할 것”이라고 말했다. editor@itworld.co.kr
 Tags 시만텍

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.