중국 정부와 연계된 해커그룹이 작년 12월 국내 에너지 기업을 대상으로 표적공격을 시도한 것으로 나타났다.

‘톤토(Tonto)’라고 명명된 해커그룹의 소행으로, 파이어아이는 이들을 2년간 추적한 결과 이들의 표적공격을 처음 발견했다.

라이언 웰란(Ryan Whellan) 파이어아이 운영전략 부서 총괄이사는 25일 파이어아이코리아가 개최한 기자간담회에서 3가지 핵심 사이버위협 트렌드로 ▲지정학적 요인에 따른 표적공격이 광범위하게 일어나고 있고 ▲개인정보를 노리는 공격도 증가하고 있으며 ▲운영기술(OT) 산업제어시스템(ICS)을 운영하는 핵심 기반시설 대상 공격이 증가하고 있다고 밝혔다.

이들 3가지 공격 유형은 모두 북한, 중국, 러시아, 이란 등 정부 지원을 받고 있거나 이들 정부의 이익을 위해 사이버 표적공격을 벌이는 해커집단의 소행으로 파이어아이는 분석하고 있다. 한국은 이들의 주요 표적이 되고 있다.

이 가운데 ‘톤토’는 2012년에 최초로 활동이 포착된 공격그룹으로 한국, 일본, 러시아 항공우주, 방위산업을 주 대상으로 공격을 수행하다 2018년 주력대상을 바꿔 한국의 에너지기업을 공격했다고 웰란 이사는 설명했다.

공격 당한 에너지 기업은 파이어아이의 고객사로, 파이어아이 위협 인텔리전스 장치에서 이들이 시도한 멀웨어 공격을 탐지해 차단했다.

파이어아이는 ‘톤토’가 ‘캄손(CALMTHORN)’과 ‘고스트(GH0ST)’ 멀웨어 페이로드를 이용해 공격한 것으로 판단했다. ‘캄손’과 ‘고스트’ 멀웨어 샘플은 두 뉴스 사이트로 가장한 도메인에 호스팅됐는데, 이 사이트는 공격그룹이 제어하는 주소일 가능성이 높다고 봤다.

파이어아이는 공격자가 악성코드를 호스팅하기 위한 명령제어(C&C) 인프라 구조를 분석한 결과 한국과 일본을 표적으로 삼고 있는 해킹그룹인 ‘탬프틱(TEMP.Tick)’과의 연관성을 발견했다.

작년 9월 발견된 ‘하드시멘트(HARDCEMENT)’ 다운로더와 동일 서버에 호스팅돼 동일한 작업에 사용됐을 가능성이 있는 ‘아이앰킹(IAMKING)’ 샘플이 공격그룹인 ‘톤토’와 ‘탬프틱’의 전용 툴로 분석된 상태다. 더욱이 ‘톤토’와 ‘탬프틱’은 C&C를 위해 동일한 IP주소를 사용했다.

2009년 처음 활동이 보고된 ‘탬프틱’은 중국 반체제 조직에 대한 모니터링 작업을 수행해오는 등 전형적인 중국 정부가 지원하는 해킹그룹에 부합되는 활동을 나타내고 있다. 한국과 일본의 국방, 중공업, 항공우주, 기술, 은행, 헬스케어, 자동차, 미디어 산업 등 광범위한 공공·민간 조직을 공격 대상으로 삼았다.

‘탬프틱’은 이전에 하드시멘트 멀웨어를 이용해서 국내 포털 사이트 다음(Daum) 관련 도메인으로 위장했던 사례가 발견된 바 있다.

파이어아이는 주요 기반시설의 OT 환경과 ICS을 대상으로 표적공격을 벌이는 ‘트리톤(TRITON)’ 공격도 추적하고 있다. 지난 2017년 12월 ‘트리톤’ 공격 프레임워크를 식별해 조사·분석을 수행했다. 그 결과 공격 배후세력으로 파이어아이는 러시아 국영연구소를 지목했고, 러시아 정부에서 지원하는 것으로 파악하고 있다.

공격자들은 공격 주기 내내 24개의 맞춤형 공격 툴과 일반 공격 툴을 활용해 목표로 삼은 IT·OT 네트워크에 대한 접근을 확보하고 유지했다.

이들은 우선 기업 전산망에 발판을 마련하고 난 후 OT 네트워크에 대한 접근성 확보에 집중했다. 키 로거와 스크린샷 그래버, 파일 브라우징, 대량 데이터 유출 등과 같이 산업 스파이 행위와 흔히 연관되는 활동은 보이지 않았다. 사용된 공격 툴 중 대부분은 목표 환경에서 네트워크 정찰, 내부망 이동, 접근 유지 등에 주력했으며, 침입활동을 숨기고 포렌식 조사를 회피하기 위한 여러 정교한 기법을 사용했다.

최근에도 파이어아이는 ‘트리톤’ 배후 해커가 주요 기반시설에 침입한 흔적을 추가로 발견해 대응하고 있다.

‘트리톤’은 공격자들이 OT 환경까지 침투한 첫 사례라고 파이어아이는 파악하고 있다.

웰란 이사는 “‘트리톤’은 공장, 발전소 등 주요 산업·기반시설의 OT 계층까지 침투했으며, 최후의 방어막이라고 할 수 있는 안전시스템까지 공격 대상으로 삼았다. 만일 공격이 성공했다면 발전소의 물리적 파괴와 인명 피해까지도 야기할 수 있었을 상황이다. 이는 단순 일회성 공격이 아니다”라며 “현재 침해대응팀이 출동해 조사를 수행하고 있다”고 설명했다.

그는 “중국의 후원을 받고 있고 에너지 분야를 표적으로 삼는 공격집단이 두 개가 발견된 것은 주요 기반시설에 대한 관심이 높아지고 있다는 것을 반영한다. 해킹그룹끼리 서로 리소스를 공유하게 되면 더욱 위험하다”면서 “트리톤 공격 사례에서 공격자들의 OT 공격 역량을 충분히 보유하고 있다는 것이 입증됐다. 중국에서도 OT를 공격 표적으로 삼기위한 역량을 키울 것으로 예상되기 때문에 한국과 일본의 기반시설 관련 산업과 조직은 앞으로의 위험에 대응해 현재 수준을 면밀하게 평가할 필요가 있다”고 강조했다.

파이어아이는 폐쇄망 환경을 운영하고 있더라도 안전하다고 여기면 안된다는 점도 강조했다.

웰란 이사는 “관련산업은 IT와 OT 네트워크 사이에 ‘에어갭(Air-Gap)’을 구성하고 있다. 이를 기반으로 IT와 OT가 분리돼 있다고 생각하지만 대부분의 경우 서로 연결되고 있는 것으로 파악된다. 보안을 크게 신경쓰지 않고 시설과 시스템을 설계한 채로 운영하고 있는 상태”라고 지적했다. 그러면서 “먼저 에어갭이 있다는 오판에서 벗어나야 한다. 연결된 지점에 대한 모니터링과 비인가 사용 식별에 대한 투자를 진행해야 한다. 네트워크 트래픽을 프로토콜단에서부터 가시성을 확보할 수 있는 조치를 취해야 하며, 제어계층과 안전계층에서도 포렌식 역량을 확보해야 한다”고 권고했다.

스티브 레드지안(Steve Ledzian) 파이어아이 아태지역 최고기술책임자(CTO, 부사장)은 “실제로 발생한 ICS 공격을 살펴보면 IT 네트워크에서 시작해 OT로 확산된다. ICS 네트워크 보안을 강화하기 위해서는 IT와 OT 보안을 분리하지 않고 통합된 접근법을 채택해야 한다”라면서 “파이어아이는 ICS 네트워크의 헬스 체크, 에어갭 분석을 제공하고 있다. IT에서 발생하는 공격이 OT 네트워크까지 파급될만한 취약점이 있는지도 분석한다. 2011년부터 제공하는 매니지드탐지대응(MDR) 서비스는 OT 환경과 ICS 네트워크까지 확장된 보안관제를 제공한다”고 말했다.

* 악성코드 용어 설명

캄손(CALMTHORN) : TCP로 통신하는 비컨 백도어로, 파일 업로드, 리버스 쉘, 프록시 트래픽, 시스템 정보 수집 등의 명령을 지원한다.

고스트(GH0ST) : 고스트는 인터넷에 공개되어 있는 소스 코드에서 유래한 원격 접속 해킹 도구(RAT)로, 위협 행위자는 이를 이용해 스크린 및 오디오 캡처, 웹캠 작동, 프로세스 리스팅및 종료, 명령쉘 열기, 이벤트 로그 삭제, 파일의 생성조작, 삭제, 실행, 전송 등을 수행할 수 있다.

아이앰킹(IAMKING) : 아이앰킹은 파일 작성, 쉘 접근 확보, 폴더 및 파일 열기, 프로세스 실행, 피해자 데이터 수집 등이 가능한 백도어 프로그램이다.

하드시멘트(HARDCEMENT) : 일부 하드코딩한 사용자 에이전트 문자열이 포함된 HTTP 기반의 드롭퍼이다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network