제철과 화학 등 국내 제조업 시설 200여곳이 지능형지속위협(APT) 공격에 감염된 것으로 확인됐다. 현재 시설 내부 문서와 비밀번호 등을 탈취하면서 미래 공격을 준비하는 단계로 추정된다.
산업보안 전문업체 사이버X 소속 위협 인텔리전스 팀 '섹션52'는 한국에 위치한 제조 시설 수백여개가 APT 공격에 당했다고 밝혔다. 공격은 현재 진행 중으로, 공격자는 이들 시설에 대한 거래 기밀과 지재권(IP) 등 내부 문서, 비밀번호를 탈취하면서 추후 공격을 위한 정찰을 수행하고 있다. 연구진은 이번 공격을 '강남 산업 스타일'로 명명했다.
공격자가 빼돌린 정보는 다양한 방식으로 활용할 수 있다. 산업 장비 설계 도면 등 탈취한 정보는 경쟁 관계에 있는 기업과 국가로 팔아넘길 우려가 있다. 공격자가 사물인터넷(IoT)과 산업제어시스템(ICS) 네트워크로 직접 원격 접근할 가능성도 충분하다.
이 같은 공격은 스피어피싱 이메일을 통해 수행된다. 공격자는 산업용 기계를 생산하는 지멘스 계열사로 위장해 체코 발전소 설계 견적서(RFQ), 인도네시아 석탄화력발전소 설계 RFQ 등을 이메일에 첨부, 발송했다. 유럽 내 대형 엔지니어링 기업 바이어인 것처럼 속여 악성 이메일을 보내기도 했다.
이메일에 첨부된 압축파일에는 악성코드가 들어있다. 압축을 해제하면 PDF 파일처럼 보이는 문서가 나타나지만, 실제로는 악성 실행파일이다. 악성파일은 감염 시스템 내 네트워크 어댑터를 식별하고 윈도 방화벽을 무력화시킨다. 브라우저와 이메일 비밀번호를 탈취할 뿐 아니라 이용자 폴더에서 특정 확장자를 가진 파일을 수집한다.
공격에 사용된 악성코드는 사이버X가 2013년 처음 식별한 크리덴셜 탈취 악성코드 '세파(Separ)' 신규 버전이다. '세파'는 산업 시설에 특화한 악성코드로 설치 후 브라우저와 이메일 크리덴셜을 빼돌리고 오피스 문서와 이미지를 포함한 다양한 확장자 문서를 검색한다. 이후 FTP를 통해 감염시킨 정보 전량을 추출한다. 이번 공격에 사용된 '세파'는 올해 초 포착된 버전보다 진화한 것으로 재부팅 후에도 공격을 지속할 수 있도록 오토런을 사용한다.
해당 이메일로 감염된 국내 시설은 200여곳 이상인 것으로 조사됐다. 이 가운데는 매출 수십억달러에 달하는 기업도 포함됐다. 연구진은 이 기업이 전력 수송과 배전, 재생 에너지, 화학, 건설 등을 위한 핵심 인프라 장비를 생산하는 곳이라고 설명했다. 이외에도 제철, 화학, 파이프, 밸브, 엔지니어링 업체 역시 공격에 감염됐다.
피해를 막기 위해선 압축파일 등 이메일 첨부파일을 클릭하기 전 의심해야 하며 악성코드 식별을 위해 엔드포인트 보안 강화 조치 등이 권고된다.
오다인기자 ohdain@etnews.com