[디지털경제뉴스 박시현 기자] 카스퍼스키는 카스퍼스키 산업제어시스템(ICS) 침해사고대응팀(CERT)이 아시아 태평양 지역의 산업 조직을 표적으로 삼은 공격인 ‘살몬슬라럼(SalmonSlalom)’을 발견했다고 밝혔다.
공격자들은 정식 클라우드 서비스를 악용해 악성코드를 관리하고, 탐지를 피하기 위해 합법적인 소프트웨어를 활용한 복잡한 ‘다단계 악성코드 배포 방식(multi-stage malware delivery scheme)’을 사용했다. 이를 통해 공격자들은 피해 조직의 네트워크 전반에 악성코드를 확산시키고, 원격 관리 도구를 설치하며, 장치를 조작하고, 기밀 정보를 탈취 및 삭제할 수 있었다.
이번 공격은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남을 포함한 아태 지역 여러 국가 및 지역의 정부 기관과 산업 조직을 대상으로 했다. 공격자들은 세금 관련 문서로 위장한 멀웨어가 포함된 ZIP 압축 파일을 이메일 및 메신저(위챗 및 텔레그램)를 이용한 피싱 캠페인을 통해 피해자들에게 전달했다. 복잡한 다단계 멀웨어 설치 절차의 결과로 시스템에 백도어로 원격 액세스 트로이목마인 FatalRAT가 설치됐다.
<그림>‘살몬슬라럼’ 감염경로
이전 공격에서 사용된 Gh0st RAT, SimayRAT, Zegost 및 FatalRAT과 같은 오픈소스 원격 액세스 트로이 목마를 활용한 공격 방식과 유사한 점이 있었지만, 이번 공격에서는 특히 중국어 사용자를 겨냥한 새로운 전술, 기술 및 절차의 변화가 두드러졌다.
공격자들은 중국 클라우드 콘텐츠 전송 네트워크인 마이큐클라우드와 유다오 클라우드 노트 서비스를 악용해 공격을 수행했다. 탐지 및 차단을 피하기 위해, 동적으로 제어 서버 및 악성 페이로드 변경, 합법적인 웹 리소스에 악성 파일 배치, 합법적인 애플리케이션의 취약점 악용, 악성코드를 실행하기 위해 합법적인 소프트웨어 기능 활용, 파일 및 네트워크 트래픽의 패키징 및 암호화 등다양한 방법이 사용됐다
카스퍼스키는 이번 공격을 ‘살몬슬라럼’이라고 명명했다. 연어가 급류를 거슬러 올라가면서 바위 사이를 헤치고 지나가듯, 공격자들이 사이버 방어 체계를 회피하기 위해 끊임없이 전략을 변경하는 모습에서 착안한 것이다.
카스퍼스키의 아드리안 히아 아시아 태평양 총괄 지사장은 “살몬슬라럼 공격은 위협 행위자의 점점 더 은밀하고 적응력 높은 공격 방식을 보여준다. 이들은 정식 클라우드 서비스와 소프트웨어를 악성 페이로드 배포에 활용함으로써 기존 탐지 방법을 우회하고 있다. 또한, 아태 지역의 산업 조직을 겨냥한 공격 기법이 지속적으로 진화하고 있으며, 단순한 다단계 감염 체인뿐만 아니라 특정 표적에 맞춰진 전략을 사용하고 있다. 이러한 위협에 대응하기 위해 산업 조직들은 보안 인식을 강화하고, 위협 탐지 역량을 향상시키며, 지역 및 업종 간 위협 정보 공유를 확대하여 보다 효과적으로 방어해야 한다”라고 말했다.
카스퍼스키의 에브게니 곤차로프 ICS CERT 책임자는 “카스퍼스키는 지속적으로 위협 행위자들이 비교적 단순한 공격 기법을 조합해 산업 제어 시스템(OT) 환경에서도 성공적으로 침투하는 사례를 확인하고 있다. 이번 공격은 아태 지역 산업 조직들에게 위협 행위자들이 실제로 OT 시스템에 원격 접근 권한을 획득할 수 있음을 경고하는 사례다. 이러한 위협을 인식하는 것이 보안 강화를 위한 첫걸음이며, 이를 통해 조직들은 자산과 데이터를 악의적인 공격자로부터 효과적으로 보호할 수 있다”라고 전했다.
이번 공격이 특정 해킹 그룹에 의해 수행되었다는 명확한 증거는 없지만, 중국어 기반 서비스 및 인터페이스의 지속적인 사용과 기타 기술적 증거를 고려할 때 중국어를 사용하는 위협 행위자가 관련되었을 가능성이 높다.
카스퍼스키는 해당 공격으로부터 피해를 막기 위해 다음과 같은 조치를 취할 것을 권장한다.
▪보안 솔루션의 관리 콘솔 및 웹 인터페이스 로그인 시 이중 인증(2FA)을 활성화하라.
▪중앙에서 관리되는 최신 보안 솔루션을 모든 시스템에 설치하고, 바이러스 백신 데이터베이스 및 프로그램 모듈을 정기적으로 업데이트하라.
▪모든 시스템에서 보안 솔루션의 모든 구성 요소가 활성화되었는지 확인하고, 관리자 암호 입력 없이 보호 기능을 비활성화하거나 보안 솔루션을 제거하지 못하도록 정책을 설정하라.
▪보안 솔루션이 카스퍼스키 시큐리티 네트워크 등을 활용해 최신 위협 정보를 수신하도록 구성하라, 단 법적 또는 규제상의 이유로 클라우드 보안 서비스를 사용할 수 없는 경우 제외해야 한다.
▪운영체계 및 애플리케이션을 최신 버전으로 업데이트하고, 보안 업데이트(패치)를 즉시 적용하라.
▪카스퍼스키 통합 모니터링 및 분석 플랫폼과 같은 SIEM(시스템 정보 및 이벤트 관리) 시스템을 도입하라.
▪OT 환경에서 가장 일반적으로 관찰되는 연관 관계인 ‘조부모-부모-자식 프로세스 관계’에 대한 기준선을 설정하기 위해 EDR/XDR/MDR 솔루션을 활용하라.
