한국, 러시아 해킹 조직 집중 타깃 됐다

[아이뉴스24 김국배 기자] 국내 기업들이 올들어 러시아 해킹 조직의 집중 타깃이 되고 있는 것으로 나타나 보안 강화가 요구된다.

28일 국내 보안업체 NSHC가 공개한 '사이버 위협 인텔리전스' 보고서에 따르면 러시아에 기반을 둔 해커 조직(SectorJ04)이 주로 북미, 유럽 지역을 공격해오다 올들어 동남아시아와 동아시아로 공격 범위를 넓힌 것으로 파악된다.

특히 국내를 노린 공격 빈도가 급증하는 추세다. 주로 스팸 이메일(Spam Email)을 써 공격자 서버로부터 추가적인 명령을 수행할 수 있는 백도어를 감염 시스템에 전달한다.

지난달만 하더라도 국내 부동산, 반도체 등의 기업과 대학을 대상으로 해킹 활동을 수행했다. 우리나라 공직자 통합 메일 서비스에 사용되는 이메일 계정을 대상으로 한 스팸 이메일이 발견되기도 했다. 또 국내 대형 항공사가 보낸 것처럼 위장한 스팸 이메일을 뿌렸다.

이달 들어선 우리나라를 포함해 인도, 영국, 미국, 독일, 캐나다, 아르헨티나, 방글라데시, 홍콩 등 전세계를 대상으로 광범위한 해킹 활동을 벌이기까지 했다. 주로 의료, 에너지 분야 기업이 타깃이 됐다. 이때 발견된 이메일은 모두 동일한 본문 내용을 포함했다.

거기다 지난 2월에는 국내 특정 기업의 임직원을 노린 스피어 피싱 메일을 통해 기업 내부망을 해킹한 사례가 나오기도 했다. '액티브 디렉토리(AD)' 서버를 해킹해 기업 내부 네트워크 전체를 장악한 뒤 '클롭 랜섬웨어'를 유포했다. 이후에도 국세청으로 위장한 스팸 이메일을 유포하는 등 국내에서 클롭 랜섬웨어를 유포하는 해킹 공격을 지속적으로 시도한 것으로 추정된다.

장영준 NSHC 수석연구원은 "해당 조직이 올초 클롭 랜섬웨어를 통해 국내 기업들로부터 수익을 얻는 등 재미를 본 뒤 공격이 크게 증가한 것으로 판단하고 있다"고 설명했다.

이 조직은 MS워드나 엑셀 파일이 첨부된 '스피어 피싱' 이메일을 해킹 수단으로 삼고 있다. 과거 공격에 쓰인 이메일은 본문 내용이 없거나 짧았던 데 비해 최근엔 이미지를 활용하는 등 정교한 스팸 이메일을 쓴다.

구체적으로는 문서 파일이 공격자 서버로부터 '마이크로소프트 인스톨러(MSI)' 파일을 다운로드하게 한 뒤 이를 통해 감염시스템에 백도어를 설치한다. 최근엔 백신 프로그램들이 MSI 파일을 탐지하기 시작하자 MSI 파일을 쓰지 않고 직접 시스템에 백도어를 설치하는 방식을 썼다.

악성코드는 주로 자체 제작한 백도어(ServHelper, FlawedAmmy RAT)나 러시아에서 제작된 합법적인 원격관리용 소프트웨어를 사용했으며, 최근 들어선 새로운 백도어(AdroMut, FlowerPippi)를 추가로 사용하는 게 발견된 바 있다.

감염 시스템에 설치된 백도어는 봇넷 악성코드, 랜섬웨어 등을 추가 유포하기도 하며, 이 과정에서 이메일 스틸러(Email Stealer)로 불리우는 이메일 정보 수집 목적의 악성코드가 발견된 적도 있다.

장 연구원은 "5년 전부터 활동하기 시작한 이 조직은 표적 공격에서 스팸 성격의 대규모 유포 형태로 해킹 양상이 바뀌고 있다"고 말했다.