보안

우크라이나 전력 업체, 좀더 많은 사이버공격을 받고 있다...ESET

Jeremy Kirk | IDG News Service 2016.01.21
우크라이나 전력회사들은 수만의 고객들에게 전력 공급을 중단케 한 지난해 12월 사이버 공격에 뒤이어 좀더 많은 새로운 공격을 받고 있다.

보안 업체 이셋(Eset)은 1월 20일 동일 그룹인지, 그룹들이 포함됐는지를 묻는 질문에 이 공격들은 다른 종류의 악성코드를 사용한다고 답변했다.

이셋 악성코드 수석연구원 로버트 리포프스키는 "이 악성코드는 자유롭게 사용할 수 있는 오픈소스 백도어를 기반으로 하기 때문에 정부 후원의 악성코드 운영자의 소행인지를 예상할 수 있는 것은 아무것도 없다"고 말했다.

새롭게 발견된 것으로 인해 우크라이나 전력회사를 표적으로 한 이가 누군지는 점점 더 미궁 속으로 빠져들고 있다.

리포프스키는 "최근 발견한 것은 위장 술책(false flag)의 가능성 또한 고려해야 한다"며, "이것이 우크라이나 공격의 원천을 밝히는 데 조금도 가까이 가지 못했다. 이와 반대로 경솔한 결론으로 치닫는 것을 피해야 한다는 것을 상기시켜줬다"고 말했다.

지난해 12월 우크라이나 전력 공급업체인 프리카르파티아 오브렌네르고(Prykarpattya oblenergo)와 키예프 오브렌네르고(Kyiv oblenergo)에 대한 공격은 이미 충분히 예견된 사건이다. 전문가들은 중대한 인프라스트럭처에 대한 위협이 있을 것이라고 오랫동안 경고해왔다.

키예프 오브렌네르고는 공식 성명을 통해 "30개 변전소들이 오프라인이 된 이후 8만 고객들이 잠시 영향을 받았다. 이후 운영자가 서비스를 복구하기 위해 변전소 운영을 수동으로 재빨리 전환했다"고 밝혔다.

이번 공격에 사용된 이 악성코드는 보안업체인 아이사이트 파트너(iSight Partners)에 의해 블랙 에너지(Black Energy)라는 이름을 갖고 있다. 아이사이트 파트너는 이 악성코드가 샌드웜 팀(Sandworm Team)이라는 러시아 해킹 그룹과 연관되어 있다고 말했다.

그러나 전문가들은 이번 공격을 러시아 정부의 소행으로 돌리는 것에 대해서는 신중을 기했다. 2014년 크림반도(Crimea) 분쟁 이후 우크라이나를 자극할 수 있기 때문이다. 이번 사이버 공격에 대해 공격자들이 자신의 행동을 모호하게 하는 다양한 방법을 취할 수 있기 때문에 특정 대상을 지명하는 것은 어렵다.

SANS ICS(Industrial Control Systems) 팀은 1월 1일 한 블로그 게시판에 "이 악성코드는 아마도 이 공격자들에게 이 시스템의 접근 권한을 제공했다. 그러나 이것만으로 정전의 원인이 될 수 없다"고 전했다. 리포프스키는 "최근 공격들은 표적화된 스피어 피싱(spear phishing) 이메일을 대상자에게 보내면서 시작했다. 이 이메일은 악의적인 마이크로소프트 엑셀 파일이 첨부되어 있어 이를 실행하게 되면 트로이목마 다운로더가 설치되도록 명령한다. 이 코드는 다른 원격 서버에서 악성코드를 끌어들인다"고 설명했다.

우크라이나 스피어피싱 이메일의 견본

리포프스키는 "이 악성코드는 파이썬 기반의 백도어인 지캣(gcat)의 변형된 버전"이라며, "공격자들에게 제어된 이 백도어는 지메일 계정을 사용하는 데, 이것이 네트워크 내 트래픽을 탐지하는 데 어렵게 만들었다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.