> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
러시아 배후 공격그룹, 미국·우크라이나 스파이 활동 벌여
카스퍼스키랩 “소파시·그레이에너지, 동일 공격 조직일 가능성 포착”
2019년 02월 11일 14:31:06 김선애 기자 iyamm@datanet.co.kr

러시아가 배후에 있을 것으로 의심되는 사이버 스파이조직 ‘소파시(Sofacy)’와 ‘블랙에너지(BlackEnergy)’의 후계자일 것으로 추측되는 ‘그레이에너지(GreyEnergy)’에 연관관계가 있을 것이라는 정황이 제기됐다. 소파시는 미국·유럽을 대상으로 사이버 스파이 활동을 했으며, 블랙에너지는 우크라이나 전력시설을 파괴해 대규모 정전사태를 일으킨 조직으로 알려진다.

카스퍼스키랩은 이 두 조직의 연관성을 입증하는 증거가 발견됐다고 11일 밝혔다. 그레이에너지가 악성코드를 사용해 우크라이나 기업과 중요 인프라를 공격했는데, 블랙에너지와 공격도구, 방법 등이 유사해 블랙에너지의 뒤를 잇는 그룹이 그레이에너지일 것으로 추측된다.

카스퍼스키랩 조사에서 우크라이나와 스웨덴에서 악성코드가 호스팅된 서버 2대를 찾아냈으며, 그레이에너지와 소파시가 지난해 6월 같은 시기에 해당 서버를 사용한 것으로 드러났다. 그레이에너지는 피싱 공격에서 악성 파일을 보관하는 용도로 서버를 사용했다. 사용자가 피싱 이메일에 첨부된 텍스트 문서를 열면 서버의 악성 파일이 다운로드됐다.

   
 

소파시는 자체 악성 코드의 명령 및 제어 센터로 사용했다. 두 조직 모두 비교적 짧은 기간 서버를 사용했으므로 사용 시기가 같다는 기막힌 우연의 일치로 보아 이들은 인프라를 공유하고 있는 것으로 추정된다.

이러한 가설은 두 조직 모두 스피어 피싱 이메일을 사용해 일주일에 한 기업씩 공격하는 행태가 관찰되었다는 사실로 더욱 확실해졌다. 또한 두 조직 모두 유사한 피싱 문서, 즉 카자흐스탄 에너지부에서 보낸 이메일로 위장한 피싱 문서를 사용했다는 점도 주목할 만하다.

이창훈 카스퍼스키랩코리아 지사은 “이 두 조직이 감염된 인프라를 공유한다는 사실은 단순히 러시아어를 사용한다는 공통점을 넘어 서로 협력 관계라는 사실을 말해주는 가능성도 있다. 이를 통해 이들이 협공 능력을 갖추고 있음을 알 수 있으며 목적과 잠재적 공격 목표도 더욱 뚜렷하게 확인할 수 있다”고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  러시아, 공격, APT, 미국, 우크라이나
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr