Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

IDG 블로그 | “보안 태세 강화해 위기에 대비하라” 러시아 사이버 공격이 CISO에 전하는 메시지

Christopher Burgess | CSO 2022.02.16
미국 국가안보국 사이버 보안 부보좌관 앤 뉴버거는 “현재 미국을 겨냥한, 정확하게 밝혀진 위협은 없지만, 민간 부문과 구체적인 정보를 공유하며 협력하고 있다”라고 밝혔다. 뉴버거는 기업에 사이버 보안 태세를 갖출 것을 촉구하고, 그 방법에 대한 조언도 제공하고 있다고 덧붙였다.
 
ⓒ Getty Images Bank

2일 뉴버거는 온라인 언론 브리핑을 통해 우크라이나와 인접 국가를 향한 러시아의 사이버 위협이 지속되고 있다고 말했다. 그는 “몇 주, 몇 달 동안 공식적으로나 사적으로 사이버 공격은 우크라이나를 위협하고, 더 나아가 침공하려는 러시아의 광범위한 노력의 일부에 불과할 수도 있다고 늘 경고했다”라고 강조했다. 러시아는 지난 10년 동안 사이버를 핵심 전투력으로 활용했다. 2015년 우크라이나에서 발생한 대규모 정전 사태의 배후로 러시아가 지목되기도 했다.

이런 뉴버거의 언급을 두고 어떤 사람은 뉴버거가 언론을 통해 ‘우리는 러시아를 예의 주시하고 있다’라는 행정부의 메시지를 전한 것뿐이라고 생각할지도 모른다. 하지만 사실 뉴버거는 CISO가 하루빨리 사이버 보안 태세를 강화해야 한다는 경각심을 갖게 하려는 것이었다. 다시 말해, 기업은 사이버 위협으로 인한 위기에 대비해야 한다.

때마침 팔로알토 네트웍스 사이버 보안 연구소인 유닛42가 가마레돈(Gamaredon)이 우크라이나 내 서방 정부 기관을 표적으로 삼고 있다고 밝혔다. 작년 11월 이 공격은 러시아 연방보안국(FSB) 요원 5명이 주도한 것으로, 크림반도에 위치한 FSB 정보보안센터의 후원을 받는다는 사실이 우크라이나 보안국(SSU)에 의해 밝혀졌다. 가마레돈은 프리미티브 베어(Primitive Bear), 셕웜(Shuckworm), 액티늄(Actinium)으로도 알려진 러시아 유명 APT 단체이다.

당시 SSU는 가마레돈이 5,000건의 공격을 일으킨 목적을 다음과 같이 명시했다.
 
  • 발전소, 열 및 급수 시스템과 같은 핵심 인프라 시설에 대한 통제력 확보
  • 보안 및 방어 부문, 정부 기관 등 접근이 제한된 장소의 정보를 비롯해 도난 및 기밀 사항을 포함한 데이터 획득
  • 정보 획득 및 심리적 위협 행사
  • 정보 시스템 차단

가마레돈에 관한 SSU의 기술 보고서는 가마레돈의 영향력과 더불어 형성에 관해서도 상세하게 다뤘다. 이 보고서에 따르면, 가마레돈의 위협은 한때 모호했다. 하지만 이제는 국가 인프라를 겨냥한 가시적인 공격이며, 사이버 위협 인텔리전스에도 신용할 수 있는 위협으로 명시됐다.

유닛42 보고서에 따르면, 가마레돈은 우크라이나 내 서방 정부 기관을 겨냥한 공격에 뛰어난 인력을 활용하는 데 여념이 없다. 가마레돈은 워드 파일로 지원자의 이력서를 업로드했다. 지원자를 통해 유입된, 페이로드가 가득한 이력서가 가마레돈의 피싱 이메일과 동일한 수준의 정밀 검사를 받지 못할 것이라고 예측한 것이다.

또한, 유닛42 보고서는 작년 1월 27일 발행된 에스토니아 CERT 보고서를 인용했다. 해당 보고서에 따르면, 가마레돈은 2020년부터 스피어 피싱 기술을 사용해 유럽 연합 국가를 표적으로 삼고 있다.

한편, 1월 31일 시만텍 위협 헌터 팀은 자체 연구를 통해 셕웜이 사이버 스파이 활동에 특화됐다고 밝혔다. 작년 11월 SSU가 발견한 것과 일치한 연구 결과가 나온 것이다. 위협 헌터 팀의 보고서는 악성 문서로 시작된 가마레돈의 공격망에 관해 흥미로운 사례 연구를 포함한다. 사례 연구는 작년 7월 14일부터 8월 18일까지 약 한 달 동안 시행됐다.

시만텍이 발표한 직후인 2월 4일에는 마이크로소프트 위협 인텔리전스 센터와 디지털 시큐리티 유닛이 지난 10년 동안 우크라이나를 겨냥한 액티늄의 위협에 관한 정보를 공유했다. 이들이 발행한 보고서는 액티늄이 정부와 군사, 비정부 기구, 사법부, 법률 집행 기관, 비영리 단체를 표적으로 삼는 방법을 집중적으로 다뤘다. 마이크로소프트의 연구 결과는 다른 기관의 조사를 반영한 것으로, 액티늄이 민감한 정보를 유출해 지속적인 접근을 위한 발판을 마련하는 데 중점을 두고 있다는 점을 강조한다.

뉴버거는 사이버 공간에서 국가와 연합의 회복력을 강화하기 위해 향후 미국의 유럽 연합 및 나토와의 협력 방안에 대해 결론을 내렸다. 뉴버거에 따르면, 이런 사고가 발생할 경우 우크라이나와 협력해 서로를 지원하기 위한 사이버 관련 비상 대책을 마련해야 한다.

우크라이나에서 사이버 공격으로 인한 긴장이 계속 고조되고 있는 가운데, 2월 9일 미국과 호주, 영국의 사이버 보안 당국이 전 세계로 퍼진 랜섬웨어 위협 증가와 관련해 공동 권고문을 발표했다. 여기서는 16개의 미국 주요 인프라 중 14개를 겨냥한 랜섬웨어 사고가 눈에 띄게 증가했다는 사실을 강조한다.

사이뮬레이트 에반젤리스트 데이비드 클라인은 “이런 사이버 보안 당국의 경고는 랜섬웨어 위협에 대한 미국의 공격적인 대응으로 인해 일부 사이버 범죄 집단이 대기업이나 정부 기관이 아닌, 더욱 공격하기 쉬운 중간 규모의 조직을 표적으로 삼고 있다는 점을 시사한다”라고 말했다. 현재 분위기상으로는 기관 및 기업의 규모가 공격 표적이 될 수 있는 결정적인 요인이 아니라는 점은 분명하다.

editor@itworld.co.kr
 Tags 사이버위협 보안 러시아 해커

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.