미국 지디넷에 따르면 글로벌 산업제어시스템(ICS)·운영기술(OT) 보안 기업 사이버X는 자사 위협 인텔리전스 팀 52부의 조사 결과 산업·엔지니어링·제조 분야 200개 이상 기업에 대한 사이버공격이 지속되고 있다고 17일(현지시간) 밝혔다.
이번 조사에 따르면 공격 대상이 대부분 한국 기업이며, 여기에는 인프라 장비 사업으로 수십억 달러 규모 매출을 기록하는 대기업도 포함돼 있다. 그 외 일본, 인도네시아, 터키, 독일, 에콰도르, 영국 등 소재 기업도 공격의 영향을 받았다.
해커는 이메일 기반의 지능형지속위협(APT) 공격을 수행했다. 메일에서 해커는 합법적인 회사인 것처럼 가장하고 가스 처리, 생산 공정 등의 시설 설계 요청 등 산업 관련 내용을 담았다. APT 공격 메일의 신뢰성을 높이기 위해 해커는 PDF 형태의 회사 소개 자료도 첨부했다.
이번 공격에서 해커는 개인이 본인임을 증명하기 위한 수단인 크리덴셜을 훔치는 맬웨어인 '세파(Separ)'의 새로운 버전을 사용한 것으로 조사됐다. 이 버전에서는 기본 FTP 연결을 통해 공격자가 제어하는 도메인으로 데이터를 보내기 전에 파일 확장자를 확인한다. 또한 윈도 방화벽을 사용하지 않도록 설정한다.
관련기사
- 체크포인트, IoT 보안 기업 '심플리파이' 인수2019.12.18
- 국내 에너지 기업들, 말로만 듣던 DDoS 첫 경험2019.12.18
- 스마트카, 생명·안전 걸린 IoT 보안의 최전선2019.12.18
- 산업에 인공지능(AI) 적용위해 산학연 머리 맞댄다2019.12.18
해커는 새로운 버전의 세파를 압축파일에 첨부해 유포했다. 사용자가 압축 파일을 해제하면 맬웨어가 작동하면서 파이어폭스, 크롬, 사파리 등 브라우저로부터 패스워드와 지메일, 야후, 윈도 라이브 서비스, 핫메일 등의 전자메일의 크리덴셜을 수집한다.
사이버X 위협 인텔리전스 팀 52부는 여전히 이 공격이 현재진행형이며, 산업 장비 설계에 대한 정보를 훔치기 위해 또는 훔친 정보를 경쟁 업체나 국가에 판매하기 위한 것일 수 있다고 분석했다.