Home > 전체기사
산업 제어 시스템 전문적으로 노리는 그룹, 현재까지 총 9개
  |  입력 : 2019-08-05 09:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
석유와 가스 노리는 그룹 5개, 전기 시설 주로 노리는 그룹 4개
가장 최근에 발견된 헥세인부터 수년 전부터 발견되어온 매그널리엄까지


[보안뉴스 문가용 기자] 산업 제어 시스템(ICS)를 집중적으로 노리는 사이버 공격 단체가 최근 9개로 늘어났다고, ICS 보안 전문업체인 드라고스(Dragos)가 발표했다. 이 중 다섯 개는 석유 및 가스 관련 기업들을 주력으로 노리고 있고, 나머지 네 개는 에너지 산업에 집중하고 있다.

[이미지 = iclickart]


드라고스에 의하면 “석유 산업을 노리는 다섯 개 그룹 중 하나는 그 동안 모습을 드러낸 적이 없는 새로운 단체”라고 한다. 이들이 활동을 시작한 때는 2018년 중순 즈음인 것으로 추정하고 있다. 드라고스는 이 단체에 헥세인(HEXANE)이라는 이름을 붙였다. 아프리카, 중동, 서남아시아의 석유 및 통신사들이 주요 표적이다.

헥세인과 비슷한 공격 패턴을 보이고 있는 단체로는 매그널리엄(MAGNALLIUM)과 크리센(CHRYSENE)이 있다. 그 외에도 헥세인은 오일리그(OilRig)라는 이란 정부와 관련있는 해킹 단체와도 비슷한 면모를 보이고 있기도 하다. 매그널리엄은 APT33 혹은 리파인드 키튼(Refined Kitten)이라는 이름으로 불린다. 2013년부터 활동해온 것으로 알려져 있으며, 사우디아라비아, 유럽, 북미의 석유화학과 우주항공 산업을 공격한다.

크리센은 2012년에 발생한 파괴형 사이버 공격인 샤문(Shamoon)을 통해 존재감을 알렸다. 당시만 해도 정찰을 주로 하는 APT 단체였으나, 점점 석유화학, 석유, 가스 전문 회사들의 ICS를 노리는 쪽으로 방향을 바꿔갔다. 걸프 지역의 회사들이 주요 표적이며, 그린버그(GREENBUG)나 오일리그(OilRig)와 같은 단체들과도 관련이 있는 것으로 보인다.

석유와 가스 산업을 노리는 공격 단체에는 제노타임(XENOTIME)도 있다. 트리시스(TRISIS)라는 멀웨어의 배후에 있는 것으로 유명하다. 트리시스는 트리코넥스(Triconex) 안전 제어 장치를 표적으로 하는 멀웨어 프레임워크다. 제노타임은 작년부터 유럽, 미국, 호주, 중동으로 활동 지역을 넓혀나가기 시작했다. 그러면서 미국과 아태지역의 전기 공급 시설도 일부 공격했다. 템프벨즈(Temp.Veles)라는 위협 단체와의 연관성도 보도된 바 있다.

석유와 가스 산업을 노리는 마지막 단체는 다이말로이(DYMALLOY)다. 굉장히 공격적이고 활동량이 많은 단체로, 석유와 가스 회사 외에 전기 공급 기관과 시설을 노리기도 한다. 주로 터키, 유럽, 북미의 조직들이 다이말로이에 당했다. 다이말로이는 드래곤플라이(Dragonfly) 2.0과 버서크 베어(Berserk Bear)와도 관련이 있다.

드라고스가 정체를 드러낸 나머지 네 개 그룹은 전기 시설에는 큰 관심을 보이고 있으나 석유나 가스 쪽에는 전혀 흥미를 나타내고 있지 않다. 그러나 공격 그룹의 표적은 늘 변할 수 있기 때문에 안심해서는 안 된다고 드라고스는 강조했다.

첫 번째 단체는 일렉트럼(ELECTRUM)이라고 한다. 크래시오버라이드(CRASHOVERRIDE)라는 파괴형 멀웨어를 사용하는 것으로 2016년부터 유명해진 단체다. 샌드웜(SANDWORM)이라는 공격 단체에서 갈라져 나온 것으로 보인다. 샌드웜은 텔레보츠(TeleBots) 혹은 블랙에너지(BlackEnergy)로 불리기도 하며, 2017년 낫페트야(NotPetya) 사태의 가장 유력한 범인으로 꼽히기도 한다.

미국의 전기 시설과 공급망을 주로 노리는 단체 중에는 작년에 처음 밝혀진 라스파이트(RASPITE)가 있다. 이란 정부가 배후에 있는 것으로 보이며, 중동의 다른 국가들도 고루 공격해왔다고 한다. 이전에는 사우디아라비아, 일본, 서유럽 국가들도 공격 대상이었으나 2018년 중반부 이후부터는 거의 미국만 노리고 있다.

올러나이트(ALLANITE)는 미국과 영국의 전기 시설 내 ICS 네트워크만을 집요하게 노리는 것으로 알려져 있다. 드라고스는 “공격자들의 주요 목적은 정찰이지, 파괴나 물리적 피해 입히기는 아닌 것으로 보인다”고 설명한다. 물론 공격자들이 돌변하는 건 흔한 일이니 미래에도 파괴형 공격은 하지 않을 것이라고 단정 짓기는 힘들다.

드라고스가 정리한 마지막 단체는 코벨라이트(COVELLITE)다. 북한의 라자루스 그룹과 연관이 있으며 유럽, 동아시아, 북미 지역의 전기 에너지 시설과 단체들을 표적으로 삼아왔다. 하지만 최근 들어 활동을 하지 않고 있는 상태라고 한다.

드라고스는 “석유와 에너지, 전기 시설을 건드린다는 건 정치 및 경제적으로 커다란 압력을 가할 수 있는 행위이기 때문에 정부의 움직임과 같은 맥락에서 이뤄질 때가 많으며, 따라서 배후에 정부 기관이 있는 경우가 대부분”이라고 설명한다. “그 파급력이 대단히 크기 때문에 보안이 최우선이 되어야 한다”는 설명도 덧붙였다.

3줄 요약
1. ICS를 주로 노리는 단체, 전 세계에 9개 있는 것으로 파악됨.
2. 석유 및 가스 시설을 노리는 단체와, 전기 시설을 노리는 단체로 구분됨.
3. 중동과 미국, 서유럽 국가들이 가장 빈번한 피해자들.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)