"대선때 주요기관 대상 '정치목적' 사이버공격 있었다"
카스퍼스키 분석…"스카크루프트 그룹으로 의심돼"
(서울=연합뉴스) 임화섭 기자 = 올해 5월에 치러진 제19대 대통령선거 무렵 한국의 주요기관들을 상대로 정보를 탈취하고 시스템을 파괴하려는 사이버공격이 있었다고 글로벌 보안업체 카스퍼스키랩이 23일 분석했다.
러시아에 본부를 둔 카스퍼스키랩은 최근 고객들에게 배포한 올해 3분기 지능적 지속 위협(APT) 공격 트렌드 보고서에서 이런 분석을 내놨다.
보고서에 따르면 정체가 확실히 밝혀지지 않은 사이버 공격 행위자가 한글(HWP) 파일에 악성코드를 심는 방식으로 이런 공격을 시도했다.
이 공격의 주된 의도는 정보 가치가 높은 기관으로부터 정보를 훔치려는 것으로 보이며, 어떤 경우는 정치적 목적을 위해 사회적 혼란을 야기하려는 의도도 함께 있었던 것으로 보인다고 카스퍼스키랩은 분석했다.
특히 후자의 경우 악성코드가 심어진 HWP 문서를 열면 악성코드가 실행되면서 하드디스크의 내용이 지워지도록 설계돼 있었다.
또 공격 대상 네트워크에서 악성코드가 들키지 않도록 하기 위해, 정상적인 공개 클라우드 서비스를 악용하는 경우도 있었다.
지금 현재로서는 공격 행위자를 특정하기 어렵지만, '스카크루프트'(ScarCruft)로 알려진 해킹그룹과 약한 연관관계가 파악된다는 것이 카스퍼스키랩의 진단이다.
지난해 6월께부터 존재가 뚜렷하게 감지된 스카크루프트 그룹은 공격 대상이 방문할 공산이 큰 사이트에 악성코드로 연결되는 경로를 심어 놓고 기다리는 '워터링 홀'(watering hole) 방식 공격과 친구나 동료 등 믿을만한 소스를 가장해서 보낸 이메일이나 메시지를 통해 악성코드를 심는 '스피어 피싱'(spear phishing) 방식 공격을 즐겨 쓴다.
이 그룹은 한국 내 기관들을 공격 목표로 삼아 정보 탈취를 시도하는 경우가 많다.
지난 대선 당시 사이버공격이 스카크루프트 그룹의 소행이라는 확실한 증거는 없으나, 도구나 악성코드 사이에 일부 연관을 찾을 수 있다는 것이 카스퍼스키랩의 설명이다.
카스퍼스키랩은 또 최근까지 한국의 금융 부문을 상대로 '매뉴스크립트'(Manyscrypt)라는 해킹 도구가 빈번하게 쓰였다고 설명했다. 매뉴스크립트는 북한과 연계돼 있다는 의심을 받는 해커 그룹 '라자러스'가 즐겨 쓰는 도구로 알려졌다.
이 도구를 사용한 최근 공격 대상으로는 한국의 암호화폐 관련 업체와 전자결제 업체가 있었다고 카스퍼스키랩은 전했다. 이는 국내 최대 가상화폐 거래소인 '빗썸' 등에 대한 해킹 공격을 가리키는 것으로 보인다.
카스퍼스키랩은 3분기에 보고서로 집중해서 다룬 24개의 APT 공격 그룹 중 절반에 가까운 10개가 중국어를 사용하는 것으로 보이는 해킹 조직이었다고 설명했다. 러시아어와 영어를 이용하는 것으로 추정되는 그룹도 있었다.
solatido@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
카스퍼스키 분석…"스카크루프트 그룹으로 의심돼"
(서울=연합뉴스) 임화섭 기자 = 올해 5월에 치러진 제19대 대통령선거 무렵 한국의 주요기관들을 상대로 정보를 탈취하고 시스템을 파괴하려는 사이버공격이 있었다고 글로벌 보안업체 카스퍼스키랩이 23일 분석했다.
러시아에 본부를 둔 카스퍼스키랩은 최근 고객들에게 배포한 올해 3분기 지능적 지속 위협(APT) 공격 트렌드 보고서에서 이런 분석을 내놨다.
보고서에 따르면 정체가 확실히 밝혀지지 않은 사이버 공격 행위자가 한글(HWP) 파일에 악성코드를 심는 방식으로 이런 공격을 시도했다.
이 공격의 주된 의도는 정보 가치가 높은 기관으로부터 정보를 훔치려는 것으로 보이며, 어떤 경우는 정치적 목적을 위해 사회적 혼란을 야기하려는 의도도 함께 있었던 것으로 보인다고 카스퍼스키랩은 분석했다.
특히 후자의 경우 악성코드가 심어진 HWP 문서를 열면 악성코드가 실행되면서 하드디스크의 내용이 지워지도록 설계돼 있었다.
또 공격 대상 네트워크에서 악성코드가 들키지 않도록 하기 위해, 정상적인 공개 클라우드 서비스를 악용하는 경우도 있었다.
지금 현재로서는 공격 행위자를 특정하기 어렵지만, '스카크루프트'(ScarCruft)로 알려진 해킹그룹과 약한 연관관계가 파악된다는 것이 카스퍼스키랩의 진단이다.
지난해 6월께부터 존재가 뚜렷하게 감지된 스카크루프트 그룹은 공격 대상이 방문할 공산이 큰 사이트에 악성코드로 연결되는 경로를 심어 놓고 기다리는 '워터링 홀'(watering hole) 방식 공격과 친구나 동료 등 믿을만한 소스를 가장해서 보낸 이메일이나 메시지를 통해 악성코드를 심는 '스피어 피싱'(spear phishing) 방식 공격을 즐겨 쓴다.
이 그룹은 한국 내 기관들을 공격 목표로 삼아 정보 탈취를 시도하는 경우가 많다.
지난 대선 당시 사이버공격이 스카크루프트 그룹의 소행이라는 확실한 증거는 없으나, 도구나 악성코드 사이에 일부 연관을 찾을 수 있다는 것이 카스퍼스키랩의 설명이다.
카스퍼스키랩은 또 최근까지 한국의 금융 부문을 상대로 '매뉴스크립트'(Manyscrypt)라는 해킹 도구가 빈번하게 쓰였다고 설명했다. 매뉴스크립트는 북한과 연계돼 있다는 의심을 받는 해커 그룹 '라자러스'가 즐겨 쓰는 도구로 알려졌다.
이 도구를 사용한 최근 공격 대상으로는 한국의 암호화폐 관련 업체와 전자결제 업체가 있었다고 카스퍼스키랩은 전했다. 이는 국내 최대 가상화폐 거래소인 '빗썸' 등에 대한 해킹 공격을 가리키는 것으로 보인다.
카스퍼스키랩은 3분기에 보고서로 집중해서 다룬 24개의 APT 공격 그룹 중 절반에 가까운 10개가 중국어를 사용하는 것으로 보이는 해킹 조직이었다고 설명했다. 러시아어와 영어를 이용하는 것으로 추정되는 그룹도 있었다.
solatido@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
