반도체 전문 온라인 매거진 - 올포칩

카스퍼스키(www.kaspersky.co.kr 지사장 이효은)는 카스퍼스키 글로벌 연구 및 분석 팀(GReAT)이 APT(지능형지속위협) 그룹 사이드윈더(SideWinder)의 집중 공격 대상이 남아시아(South Asia)의 핵 발전소(nuclear power)로 이동하는 추세임을 추적했다고 밝혔다. 이는 타깃 스파이 활동에서 중요한 확대를 의미하는 것으로, 특히 사이드윈더는 아프리카, 동남아시아, 유럽 일부 지역으로도 활동 영역을 확장했다. 

카스퍼스키 글로벌 연구 및 분석 팀(GReAT)은 사이드윈더 APT 그룹이 핵시설 등 산업 분야를 확대하고, 전세계로 활동영역을 확장하는 것뿐만 아니라 공격 능력에서 전략적 진화가 이어지고 있음을 지적했다. 현재 이 그룹은 남아시아의 핵 발전소와 에너지 시설(nuclear power plants and energy facilities)에 대한 공격 집중도가 높아졌으며, 이는 그룹의 전통적인 활동 영역을 넘어선 것으로 지리적 확장을 의미한다. 

지난 2012년부터 활동을 시작한 사이드윈더(SideWinder)는 그동안 정부, 군사, 외교 기관을 주요 타깃으로 삼아왔다. 하지만 이 그룹은 이제 동남아시아의 해상 인프라 및 물류 회사들을 포함하여 핵 분야를 새로운 타깃으로 삼아 피해자의 범위를 확장했다. 카스퍼스키 연구원들은 핵 관련 기관을 대상으로 한 공격이 급증한 것을 확인했으며, 이는 스피어 피싱 이메일(spear-phishing emails)과 산업 특화 용어가 포함된 악성 문서(malicious documents laden with industry-specific terminology)를 이용한 공격 방식이었다. 

카스퍼스키는 사이드윈더를 15개국, 3개 대륙에서 추적하고 있으며, 이 그룹이 아프리카 지부티(Djibouti)에서 수많은 공격을 시작한 뒤 이집트(Egypt)로 초점을 옮기고, 그 이후 모잠비크(Mozambique), 오스트리아(Austria), 불가리아(Bulgaria), 캄보디아(Cambodia), 인도네시아(Indonesia), 필리핀(Philippines), 베트남(Vietnam)에서도 추가적인 작전을 개시한 것을 관찰했다. 아프가니스탄(Afghanistan), 알제리(Algeria), 르완다(Rwanda), 사우디아라비아(Saudi Arabia), 튀르키예(Türkiye), 우간다(Uganda)의 외교 기관도 타깃이 되었다. 이는 사이드윈더의 활동이 남아시아를 넘어서고 있다는 것을 분명히 보여준다. 

카스퍼스키 바실리 베르드니코프(Vasily Berdnikov) 글로벌 연구 및 분석 팀(GReAT) 수석 보안 연구원은 “우리가 목격하고 있는 것은 단순한 지리적 확장이 아니라, 사이드윈더의 역량과 야망에서의 전략적 진화다. 이들은 탐지 후 놀라운 속도로 업데이트된 멀웨어 변종을 배포하고 있다. 이에 위협 환경을 사후 대응하는 방식에서 거의 실시간 대응으로 전환해야만 한다”라고 말했다. 

사이드윈더는 Microsoft Office 취약점(CVE-2017-11882)을 여전히 활용하고 있지만, 탐지를 회피하기 위해 빠르게 도구 집합을 수정하는 방식을 사용하고 있다. 핵 시설을 타깃으로 할 때, 이 그룹은 규제나 발전소와 관련된 사항에 대해 우려하는 척하는 스피어 피싱 이메일을 제작한다. 해당 문서가 열리면, 이는 공격자가 핵 시설의 운영 데이터, 연구 프로젝트, 인사 정보 등에 접근할 수 있는 익스플로잇 체인(Exploit chain, 취약점 체인, 여러 취약점을 묶어 표적을 침해하는 사이버 공격)을 시작하게 된다. 

카스퍼스키 이효은 한국지사장은 "SideWinder APT 그룹은 남아시아의 핵 발전소를 목표로 삼는 전략적 전환을 하였으며, 이는 스파이 활동의 위험한 확대를 의미한다. 동시에 이 그룹은 아프리카, 동남아시아 및 일부 유럽 지역으로 활동 범위를 확장하고 있어, 지리적 확장뿐만 아니라 공격 능력에서 전략적 진화를 이루고 있음을 나타내며, 이는 우리의 사이버 보안 방어에 새로운 도전과 위험을 시사한다. 카스퍼스키의 첨단 보안 솔루션은 지능형 위협 탐지 및 빠른 대응 메커니즘을 갖추고 있어 이러한 정교한 위협을 효과적으로 대응할 수 있다. 카스퍼스키는 기업들이 포괄적인 사이버 보안 접근법(holistic approach to cybersecurity)을 운영할 것을 권장한다. 여기에는 강력한 패치 관리(patch management), 머신러닝 기반의 다층 방어 시스템, 그리고 고급 스피어 피싱 공격을 인식하고 완화하는 정기적인 직원 교육이 포함되어야 한다”라고 말했다. 

카스퍼스키는 취약점 관리(vulnerability management) 솔루션, 초기 공격 예방, 실시간 위협 탐지 및 자동화된 대응(automated response)을 통해 기업들이 이러한 공격을 막을 수 있도록 돕고 있으며, 사이드윈더의 진화하는 맬웨어에 맞춰 지속적으로 탐지 규칙을 업데이트하고 있다. 

사이드윈더(SideWinder)의 공격에 대한 전체 분석은 Securelist.com 에서 확인할 수 있다. 

카스퍼스키 보안 전문가들은 타겟 공격(targeted attack) 로부터 중요한 인프라를 보호하기 위해 다음과 같은 조치를 권장한다:

• 포괄적인 패치 관리 구현: Kaspersky Vulnerability Assessment and Patch Management는 자동화된 취약점 탐지 및 패치 배포를 통해 인프라의 보안 구멍을 제거한다.
• 실시간 위협 탐지 기능을 갖춘 다층 보안 솔루션 도입: Kaspersky Next XDR Expert 는 머신러닝(ML) 기술을 활용하여 다양한 출처에서 데이터를 수집하고 상관 분석하여 정교한 공격에 대한 효과적인 위협 탐지 및 자동화된 대응을 제공한다.
• 직원들에 대한 정기적인 사이버 보안 인식 교육(cybersecurity awareness training) 실시: 특히 고급 스피어 피싱 공격을 인식하여 대응하는 데 중점을 둔다.