컨텐츠 바로가기

    03.21 (토)

    디도스 공격·데이터 유출까지…중동 핵티비스트가 움직인다

    댓글 첫 댓글을 작성해보세요
    주소복사가 완료되었습니다

    [Weekly Threat] 중동사태 노린 위협 고조, 한국·미국 영향권

    보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

    디지털데일리

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    [디지털데일리 김보민기자] 중동 사태를 노린 사이버 공격이 고조되고 있다. 특히 정치적이거나 사회적인 목적으로 위협을 가하는 '핵티비즘' 공격이 세계 곳곳에서 포착되고 있다. 공격자는 분산서비스거부(DDoS·디도스)부터 데이터 유출까지 무작위 위협을 가하기 시작했다.

    그러자 미국 보안당국은 이란이 연계된 것으로 추정되는 사이버 공격이 발생하고 있다고 경고하며, 마이크로소프트(MS)를 비롯한 주요 정보기술(IT) 도구를 대상으로 보호 조치를 강화할 것을 촉구했다. 공격자는 의료기기 기업 '스트라이커' 시스템에 침투해 기기 데이터를 대량 삭제한 것으로 확인됐다.

    중동 사태와 별개로 북한 배후 공격도 멈추지 않았다. 북한 연계 해킹 조직으로 알려진 '코니'는 스피어피싱 이메일과 카카오톡을 활용해 다단계 공격을 전개한 것으로 나타났다. 정상 이메일로 위장해 악성코드를 배포하고, 메신저 계정을 탈취해 주변 지인에게 이를 재유포하는 수법을 활용했다.

    ◆ 중동 분쟁 사이버전 확산…"국내 기업·기관 대비해야"

    한국인터넷진흥원(KISA)은 20일 중동에서 시작된 지정학적 갈등이 핵티비즘으로 이어지고 있다고 공지했다. KISA는 "디도스 공격, 정보탈취 등 다양한 공격 위협이 확산되고 있어 기업 대응 체계 강화가 필요하다"고 강조했다.

    공지에 따르면 친팔레스타인 성향 핵티비스트 그룹 '리퍼섹'은 국내 방위산업 및 정부기관 대상 디도스 공격을 시도했다. 친이란 성향 핵티비스트 그룹 '한달라'는 디도스 공격뿐만 아니라 데이터 파괴와 유출 등 복합 공격을 수행했다. 다크웹 유출 사이트를 운영하며 탈취한 데이터를 판매하는 사례도 발생 중이다.

    KISA는 기업 IT 인프라와 계정 보안을 강화하고 웹사이트 및 서비스 보안을 점검할 것을 당부했다. 랜섬웨어 공격으로 데이터가 암호화될 경우를 대비해 백업 및 복구 체계도 점검해야 한다고 제언했다. 무작위로 계정 정보를 대입해 로그인을 시도하는 '크리덴셜 스터핑' 공격을 막기 위해 다중인증(MFA)을 적용했는지 확인하는 작업도 필요하다.

    디지털데일리

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    ◆ 미국 FBI·CISA, MS 인튠 보안 강화 권고…왜?

    미국도 중동발 사이버 공격에 촉각을 기울이고 있다. 미국 연방수사국(FBI)과 사이버보안및인프라보안국(CISA)은 18일(현지시간) 의료기기 기업 스트라이커를 겨냥한 사이버 공격 이후 기업들에게 MS 기기 관리 시스템 '인튠(Intune)' 보안을 강화하라고 권고했다. 이란 연계로 추정되는 이번 공격으로 주요 기기 데이터가 대량 삭제됐다.

    공격자는 악성코드 대신 인튠 시스템에 침입해 기기 데이터를 원격으로 삭제한 것으로 조사됐다. 이로 인해 직원들이 핵심 시스템에 접근하지 못하면서 미국, 아일랜드, 인도 등 여러 국가 공장에서 업무 차질이 발생했다. CISA는 기업들이 역할 기반 접근제어와 MFA 등을 적용해 보안을 강화해야 한다고 강조했다.

    한편 이번 공격 배후로 지목된 '한달라'와 연계된 웹사이트는 최근 연방 당국에 의해 압수됐다. FBI는 해당 사이트가 악성 사이버 활동을 수행하는 데 사용됐다고 판단했다. 미국 당국은 추가 위협을 식별하고 대응 조치를 마련할 방침이다.

    디지털데일리

    <이미지를 클릭하시면 크게 보실 수 있습니다>


    ◆ 이메일 침투 후 카카오톡으로 재확산…북한 연계 APT 포착

    지니언스시큐리티센터(GSC)는 16일 '코니 그룹 스피어피싱·카카오톡 연계 위협 캠페인 분석' 보고서를 발간했다. 스피어피싱은 무작위가 아닌 특정 인물을 노려 위장 이메일과 메시지를 보내 악성코드를 심는 공격 방식이다.

    공격자는 '북한 인권 강사 위촉 안내'로 위장한 이메일을 보내며 악성바로가기(LNK)가 포함된 압축파일을 첨부했다. 사용자가 이를 실행하면 내부에 숨겨진 악성 스크립트가 실행되고 PC가 감염되게 된다. 공격자는 피해자 PC에 잠복해 계정 정보를 탈취하고 이를 기반으로 카카오톡 PC버전에 비인가 방식으로 접근했다. 이후 친구 목록을 선별해 '북한 영상 기획안' 등으로 위장한 악성파일을 다시 전송했다.

    GSC는 "단순 스피어피싱을 넘어 신뢰 관계 기반 전파와 계정 세션 악용이 결합된 확산형 지능형지속위협(APT)이라는 점에 위협성이 높다"며 "초기 침투부터 재확산까지 위협 행위자 TTP(전술·기술·절차) 전반을 고려한 다계층 방어 전략이 필요하다"고 말했다.

    - Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -

    이 기사의 카테고리는 언론사의 분류를 따릅니다.

    기사가 속한 카테고리는 언론사가 분류합니다.
    언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
    홈으로 이전 페이지로 맨 위로 모바일zum 다운로드 QR 이미지