지정학적인 갈등이 얼마나 심각한지 언제 전쟁이 터져도 이상하지 않을 정도다. 그러면서 국방 산업을 노리는 해킹 행위가 많아지고 또 고급화 되는 중이다. 국방 업계의 전반적인 보안 강화가 필요하다.

[보안뉴스 문가용 기자] 국방 산업을 겨냥한 사이버 스파이 행위가 점점 수위가 높아지고 있다. 보안 업체 시큐로닉스(Securonix)에 따르면 최근 몇 달 동안 유럽의 여러 군수 업체들이 표적 공격에 당했다고 하는데, F35 전투기를 생산하는 업체도 여기에 포함되어 있다고 한다. 국방 산업 전체에 비상등이 켜졌다.

​

[이미지 = utoimage]

시큐로닉스에 따르면 최근 국방 업체를 대상으로 진행된 사이버 정찰 작전에는 스팁매버릭(STEEP#MAVERICK)이라는 이름이 붙었다고 하며 “다양한 기술과 전략을 활용할 줄 아는 자들이 배후에 있다”고 한다. 특히 난독화를 위한 장치들이 겹겹이 마련되어 있고, 피해자의 시스템에 최대한 오래 머물기 위한 여러 전략들이 활용되어 있다는 게 눈에 띈다고 시큐로닉스는 강조한다.

흔치 않은 멀웨어

스팁매버릭 장치는 지난 여름 말기부터 시작된 것으로 보인다. 공격자들의 초창기 표적은 유럽의 국방 업체들이었다. 공격은 악성 ZIP 파일이나 .lnk 파일이 포함된 스피어피싱 메일로부터 시작됐다. 메일에는 회사 복리후생 및 각종 혜택에 대한 내용이 빼곡하게 적혀 있다. 시큐로닉스는 이러한 피싱 공격 기법이 북한의 APT 단체인 콘니(Konni)의 그것과 여러 가지 측면에서 흡사하다고 한다.

문제의 .lnk 파일이나 ZIP 아카이브를 피해자가 다운로드 받아 클릭하는 순간 연쇄적인 공격의 사슬이 시작된다. 각 단계마다 파워셸을 기반으로 한 멀웨어가 사용된다. 멀웨어에는 난독화 기능이 여러 겹으로 탑재되어 있다. 로깅과 분석, 탐지를 방해하기도 하고 윈도 디펜더를 무력화시키기도 한다. 또한 공격 지속성을 강력히 하기 위해 스케줄러를 활용하거나 시작 프로그램에 단축 아이콘을 심기도 한다.

또 눈에 띄는 건 공격자들의 악성 행위들이 보안 운영 혹은 관리적 보안에 대해 잘 이해하고 있음을 드러낸다는 것이다. “공격자들은 최초 침투 이후 피해자 기업의 보안 장치와 관리 체계를 면밀하게 모니터링 했습니다. 그러면서 빈틈을 찾아내는 것이죠. 그러므로 기업들은 보안 장치와 체계가 정상적으로 작동하고 있는지 주기적으로 확인해야 합니다.”

매일 커지는 사이버 위협

국방 산업이 사이버 공격의 표적이 된 건 어제 오늘 일이 아니다. 특히 중국, 러시아, 북한, 이란과 같은 국가의 사이버전 부대들이 서방 국가 및 다른 여러 나라의 국방 업체들을 표적 삼아 공격한 것은 공공연한 비밀이다. 스팁매버릭은 그런 유서 깊은 사이버 활동의 하나일 뿐이고, 앞으로도 이런 활동은 계속 있을 것이다.

지난 1월에도 미국의 사이버 보안 전담 기구인 CISA는 러시아의 APT 단체가 미국의 국방 사업체를 공격한다는 경고문을 발표한 적이 있었다. 당시 공격자들은 국방 관련 기술을 훔치기 위한 악성 행위를 실시했었다고 한다. 각종 전투 시스템, 첩보 및 감시 기술, 무기와 미사일 개발, 전투 차량 및 전투기 설계도가 공격자들이 노렸던 정보들이었다.

2월에는 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 속디투어(SockDetour)라는 백도어에 대한 보고서를 발표했었다. 파일레스 유형의 백도어였으며, 미국 국방 업체들 중 최소 4군데에서 발견됐었다. NSA와 팔로알토가 2021년부터 꾸준히 추적해 온 공격 캠페인의 일환으로 사용되어 온 멀웨어이기도 했다. 이 공격의 배후에는 중국의 APT 단체가 있었다.

국방 업체, 의외의 약한 고리

이런 일이 반복되고 있는 건 지정학적 갈등이 심화되기 때문이지만 국방 산업에 종사하고 있는 기업들이 의외로 해킹 공격에 취약하기 때문이기도 하다. 보안 업체 블랙카이트(Black Kite)가 조사한 바에 의하면 미국 국방 업체 100군데 중 32%가 랜섬웨어 공격에 취약한 상태라고 한다. 임직원들의 업무용 크리덴셜이 유출되었거나 애플리케이션 관리 체제가 존재하지 않거나 SSL/TLS 보안이 허술한 경우가 대부분이었다. 실제 72%가 최소 한 건 이상의 사이버 공격 시도를 경험하기도 했었다.

그래서 미국 국방부는 정부와 계약을 맺는 국방 업체들로부터 요구할 수 있는 사이버 보안 가이드라인을 만들었다. 최소한의 보안 강화를 하지 않으면 정부 사업을 맡을 수 없다는 기준을 세운 것이다. 하지만 아직 정식 시행되지는 않고 있다.

3줄 요약

1. 국방 산업 노리는 공격자들의 수준이 급격히 오르는 중.

2. 주요 국방 산업 해커들은 러시아, 중국, 북한 출신.

3. 국방 업체들, 의외로 사이버 보안에 취약.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=110301&page=4&mkind=1&kind=1)]​