3년 전 우크라이나 정전 일으킨 블랙에너지, 계속 성장 중

두 그룹으로 나뉘어진 해커 그룹...하나는 조용하게, 하나는 시끄럽게
성장세 봤을 때 든든한 후원자 뒤에 있는 것으로 보여...앞으로 더 큰 위협될 것

[보안뉴스 문가용 기자] 블랙에너지(BlackEnergy) 멀웨어가 우크라이나의 전력 공급망을 공격해 최초의 ‘사이버 공격으로 인한 대규모 정전 사태’를 일으킨 지 3년이 지났다. 그 사건 이후 블랙에너지 공격자들은 여러 유럽 국가에 비슷한 위협을 가하거나 사건을 일으켜왔다.

[이미지 = iclickart]

보안 업체 이셋(ESET)은 그 동안 꾸준하게 공격자들을 추적했다. 그 중에서도 그레이에너지(GreyEnergy)라는 하위 그룹을 집중적으로 좇았다. 그리고 이와 관련한 새로운 보고서를 이번 주 발표했는데, 이셋은 그레이에너지가 “주로 정찰과 정보 수집을 목적으로 움직이는 그룹”이라고 묘사했다. 그리고 정보를 수집하고 정찰하는 이유는 미래에 있을 공격을 위해서라고 설명했다.

먼저 이셋은 대대적인 블랙에너지 공격이 발생하고 난 후 공격 조직이 두 개의 하위 조직으로 분리되어 활동하기 시작했다고 한다. 하나는 그레이에너지고 다른 하나는 텔레봇츠(TeleBots)다. 그레이에너지는 텔레봇츠보다 더 조용하게 움직이고, 따라서 더 위험할 수 있다. 텔레봇츠는 2017년 낫페트야(NotPetya) 공격을 세계적으로 일으키며 주목을 받은 바 있다. 그 전인 2016년 12월에는 우크라이나의 금융 조직을 상대로 블랙에너지의 킬디스크(KillDisk)를 업데이트 해 공격에 활용한 전적도 있다.

이렇게 다른 성격을 가진 두 개의 조직이지만, 그레이에너지와 텔레봇츠는 서로 친밀하게 협력하고 있는 것으로 보인다. 이 둘이 사용하는 멀웨어의 코드에 상당한 유사성이 발견되고, 심지어 서로 멀웨어를 공유하기도 한다. 예를 들어 2016년 12월, 낫페트야 공격이 있기 훨씬 전, 그레이에너지는 문레이커 페트야(Moonraker Petya)라는 랜섬웨어를 개발해 공격에 활용했었다. 문레이커 페트야는 낫페트야의 상위 버전이다.

텔레봇츠는 우크라이나 내에서 이뤄지고 있는 정상적인 운영과 기능을 중단, 마비, 파괴시키는 것을 목적으로 움직이는 반면, 그레이에너지는 주로 산업 네트워크에서부터 정보를 수집하는 것에 집중한다. 또한 그레이에너지는 업데이트 된 블랙에너지 멀웨어 툴킷을 사용해 에너지 및 운송 부문에 있는 조직들을 표적으로 삼아 공격한다. 이셋에 의하면 그레이에너지가 행한 가장 최근의 공격은 지난 6월에 있었다고 한다.

보안 업체 넷스카웃(NETSCOUT)의 수석 디렉터인 하딕 모디(Hardik Modi)는 “보안 업계는 현재 블랙에너지를 두 개의 그룹으로 나눠서 추적하고 있다”며 “하나는 우크라이나만 집중적으로 노리다시피 하고, 다른 하나는 나라에 상관없이 산업 시스템을 집중적으로 노리고 있다”고 정리한다. “블랙에너지는 당시 정전 사태를 일으킨 일시적인 위협이 아닙니다. 지금까지도 더 왕성하고 향상된 공격을 하고 있는, 성장하는 위협입니다. 그러므로 누군가 지원을 든든하게 하고 있다는 걸 유추할 수 있으며, 앞으로도 계속해서 위협거리로 자리할 가능성이 높다고 볼 수 있습니다.”

그레이에너지는 크게 두 가지 방법을 통해 멀웨어를 배포한다. 하나는 스피어피싱이고 다른 하나는 인터넷을 통해 일반 대중에게 공개된 웹 서버의 침해다. 외부로 연결된 웹 서버가 내부 조직으로도 연결되어 있다면, 그레이에너지 공격자들은 이를 통해 횡적인 움직임을 시도하기도 했다. 성공할 경우 2차, 3차의 백도어를 심어 추후 접근을 용이하게 만들기도 했다. 피해자가 멀웨어를 발견해 삭제한다고 해도 이 백도어들 때문에 얼마든지 접근이 가능했다.

네트워크에 침투하는 데 성공한 그레이에너지는 여러 가지 방법을 사용해 내부 서버를 프록시 C&C 서버로 변환시키고, 이를 활용해 외부 C&C 서버로 가는 트래픽을 우회시켰다. 이셋에 의하면 그레이에너지가 프록시 C&C 서버를 여러 개 구성해, 침해한 네트워크 내부로부터의 트래픽을 외부 C&C 서버로 돌리는 것도 목격했다고 한다. 공격 인프라 자체는 블랙에너지 당시 혹은 텔레봇츠가 사용하던 것과 유사하며, 이를 통해서도 이 세 그룹 사이의 연관성을 볼 수 있다.

그레이에너지가 사용하는 멀웨어는 가장 핵심이 되는 모듈과, 그레이에너지 미니(GreyEnergy Mini)라는, 보다 가벼운 1단계 백도어로 구성되어 있다. 그레이에너지 미니는 시스템에 대한 정보를 최대한 많이 수집하고 전송하는 역할을 하고 있다. 이 단계에서 수집되는 정보는 컴퓨터 이름, 사용자 이름, OS 버전, 현재 윈도우 사용자의 권한, 프록시 설정 사항, 사용자 목록, IP 주소, 도메인, 백신 등 보안 솔루션 세부사항 등이라고 한다.

그레이에너지의 주요 모듈은 메모리 내에서만 돌아가기도 하고, 지속적인 공격을 위해 시스템에 최대한 오래 머무르는 방식으로 실행되기도 한다. 리부트가 되지 않을 것 같은 시스템에서는 메모리 내에서 실행되고, 리부트가 자주 될 것 같은 시스템에서는 지속적인 공격을 실시한다. 메모리 공격의 경우, 실제 공격 준비가 끝나면 이 단계에까지 사용됐던 악성 DLL 파일이 디스크에서부터 완전히 삭제된다. 즉 공격 페이로드는 메모리 내에서만 존재하는 것이다. 리부트가 되는 시스템에서는 윈도우의 레지스트리 키 기능을 사용해 멀웨어를 심고 위장시키는 사례도 있었다.

최근 등장하고 있는 멀웨어들처럼 그레이에너지도 모듈로 구성되어 있다. 공격이 굉장히 다채롭고 유연하게 실행될 수 있다는 뜻이다. 이셋이 발견한 모듈들로는 1) 시스템 정보 수집 모듈, 2) 이벤트 로그 모듈, 3) 멀웨어 해시 모듈, 4) 파일 시스템 운영 모듈, 5) 스크린 샷 모듈, 6) 키스트로크 모듈, 7) 저장된 비밀번호 모듈, 8) 사용자 크리덴셜 모듈, 9) 미미캣츠(Mimikatz) 사용 모듈 등이 있었다.

탐지가 어렵게 만드는 여러 기술도 사용하는 것이 발견됐다. 암호화 기술, 훔친 디지털 인증서로 서명 등이 대표적이었는데, 디지털 인증서는 중국의 산업 장비 생산자인 어드반텍(Advantech)이란 회사의 것으로 나타났다. 심지어 정상적인 툴들을 활용한 공격을 함으로써 탐지를 피해가는 경우도 많았다. 이들이 공격에 사용하는 정상 툴들은 위에서 언급한 미미캣츠, PsExec, Nmap 등이 있었다.

모디는 “이번 보고서에서부터 얻어낼 수 있는 가장 핵심적인 내용은 블랙에너지가 계속해서 성장하고 진화한다는 것”이라고 짚는다. “모듈 구성? 새롭지 않아요. 암호화? 마찬가지입니다. 파일레스 공격? 정상적인 툴의 남용? 최근 공격자들이라면 다 할 줄 아는 거죠. 변화 하나하나가 대단히 위험하거나 혁신적이진 않지만, 3년 동안 이런 식으로 기능을 계속해서 축적해오고 변화한다는 게 무서운 겁니다. 자원이 풍부한 누군가가 성장의 밑거름이 되고 있다는 뜻이기 때문이죠. 앞으로 이들이 더 자라갈 것이 두려워지는 보고서입니다.”

3줄 요약
1. 2015년 우크라이나 정전 사태 일으켰던 공격자, 블랙에너지.
2. 2015년 사태 후 두 개로 나눠짐 : 그레이에너지와 텔레봇츠.
3. 텔레봇츠는 시끄럽고, 그레이에너지는 은밀하고. 꾸준한 성장과 진화가 무서운 그룹.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)