타겟형 공격 캠페인의 급격한 증가

표적 공격 - 방대한 데이터와 강력한 영향력을 보유한 중요 정보 시스템에 대한 APT는 많은 해커 집단이 선호하는 공격 트렌드 중 하나였으며, 지금도 그렇습니다. 많은 조직과 기업이 운영 방식을 디지털 환경으로 전환하고 데이터 자산이 점점 더 방대해짐에 따라 이러한 트렌드는 점점 더 증가하고 있습니다.

실제로, 올해 첫 몇 달 동안 전 세계 와 베트남의 사이버 보안 상황은 에너지, 통신 등 주요 산업 분야에서 운영되는 단위의 시스템에 대한 표적 공격이 증가하는 추세를 분명히 보여주었습니다. 특히 베트남에서는 2024년 상반기에 VNDIRECT, PVOIL 등의 시스템에 대한 랜섬웨어를 이용한 표적 공격으로 인해 이러한 기업의 운영이 중단되고 물질적, 이미지적 피해가 발생했으며, 국가 사이버 보안을 위한 활동도 중단되었습니다.

W-su-co-tan-cong-ransomware-vndirect-1-1-1.jpg
올해 초 VNDIRECT 시스템의 데이터를 암호화하기 위해 악성코드를 사용한 고의적인 공격은 베트남 부대에 정보 보안에 대한 큰 교훈을 주었습니다. 사진: DV

정보보안부 산하 국가사이버보안모니터링센터(NCSC)는 최근 공유된 정보에 따르면, 해당 부서는 복잡한 맬웨어와 정교한 공격 기법을 의도적으로 사용하여 조직과 기업의 중요 정보 시스템에 침투하는 사이버 공격 캠페인과 관련된 정보를 최근 수집했다고 밝혔습니다. 이들의 주요 목적은 사이버 공격, 정보 유출, 시스템 파괴입니다.

정보보안부는 9월 11일 각 부처, 지자체, 지방자치단체의 IT 및 정보보안 부서와 국영기업, 일반 기업, 통신, 인터넷 및 디지털 플랫폼 서비스 제공업체, 금융 및 은행 기관에 보낸 경고에서 Mallox Ransomware, Lazarus, Stately Taurus(Mustang Panda라고도 함) 등 3개 공격 그룹의 APT 공격 캠페인에 대한 자세한 정보를 제공했습니다.

구체적으로, 정보 보안부는 Mallox 랜섬웨어 관련 공격 캠페인, 화상 회의 플랫폼을 가장하여 다양한 유형의 맬웨어를 퍼뜨리는 Windows 애플리케이션을 사용하는 Lazarus 그룹의 캠페인, VSCode를 악용하여 아시아의 조직을 공격하는 Stately Taurus 그룹의 캠페인 등 중요 정보 시스템을 표적으로 삼은 3가지 표적형 공격 캠페인에서 공격 그룹의 공격 행동을 종합하고 분석하는 것과 함께, 전국의 기관, 조직 및 기업이 사이버 공격의 위험을 조기에 검토하고 감지할 수 있도록 사이버 공격 지표(IoC)도 제공했습니다.

그 직전인 2024년 8월에도 정보보안부는 다음과 같은 다른 위험한 타깃형 공격 캠페인에 대해 지속적으로 경고를 발표했습니다. 'AppDomainManager Injection' 기술을 사용하여 악성코드를 유포하는 캠페인으로, APT 41 그룹과 관련이 있는 것으로 확인되었으며 베트남을 포함한 아시아 태평양 지역의 조직에 영향을 미쳤습니다. APT StormBamboo 그룹이 인터넷 서비스 제공자를 표적으로 삼아 사용자의 macOS 및 Windows 시스템에 악성코드를 배포하여 제어권을 장악하고 중요한 정보를 훔치는 사이버 공격 캠페인입니다. APT MirrorFace 공격 그룹이 금융 기관, 연구 기관, 제조업체를 '표적'으로 삼아 수행하는 사이버 공격 캠페인...

공격 스텝 모델 1.jpg
정보보안부가 2024년 8월 6일 경고한 인터넷 서비스 제공업체를 타깃으로 한 StormBamboo APT 그룹의 공격 단계 다이어그램. 사진: NCSC

베트남의 대규모 조직과 기업을 표적으로 삼은 공격 그룹에 대한 정보는 Viettel Cyber Security가 올해 상반기 베트남의 정보 보안 상황에 대한 보고서에서 분석하고 공유하는 데 중점을 둔 내용이기도 합니다.

특히, Viettel 사이버 보안 전문가들의 분석에 따르면 2024년 상반기 APT 공격 그룹은 공격 캠페인에 사용되는 도구와 악성코드를 업그레이드했습니다. 따라서 APT 그룹의 주요 공격 수법은 위조 문서와 소프트웨어를 이용하여 사용자를 속여 악성코드를 실행하도록 유도하는 것입니다. 또한, 많은 그룹이 사용하는 대표적인 기법은 DLL 사이드로딩으로, 악성 DLL을 로드하기 위해 깨끗한 실행 파일을 이용하거나 CVE 보안 취약점을 이용하는 것입니다.

Viettel Cyber Security의 기술 시스템에 따르면 2024년 첫 몇 달 동안 베트남의 기업과 조직에 큰 영향을 미칠 것으로 평가된 APT 그룹은 다음과 같습니다: Mustang Panda, Lazarus, Kimsuky, SharpPanda, APT32, APT 28, APT27.

APT에 의한 시스템 공격 위험 조기 예방을 위한 조치

정보보안부는 APT 공격에 대한 경고에서 기관, 조직 및 기업이 공격 캠페인의 영향을 받을 수 있는 정보 시스템을 점검하고 검토할 것을 권고했습니다. 동시에 사이버 공격 캠페인 관련 정보를 적극적으로 모니터링하여 공격 위험을 조기에 예방해야 합니다.

W-정보시스템-보안-1-1.jpg
국내 기관, 단체, 기업은 사이버 악용 및 공격 징후 감지 시 모니터링을 강화하고 대응 계획을 수립해야 합니다. 사진: LA

동시에, 각 부대는 사이버 공격 및 악용 징후를 감지했을 때 모니터링을 강화하고 대응 계획을 수립할 것을 권고받았습니다. 또한, 관계 기관 및 대규모 정보 보안 기관의 경고 채널을 정기적으로 모니터링하여 사이버 공격 위험을 신속히 감지해야 합니다.

사이버 공격, 특히 표적 공격이 전 세계적으로 그리고 베트남에서 꾸준히 증가하는 상황에서, 정보 보안 전문가들은 국내 기관과 기업이 위험을 최소화하고 지속적인 생산 및 사업 활동을 유지하기 위해 집중해야 할 여러 가지 조치를 권고했습니다.

이러한 작업은 다음과 같습니다. 고객 데이터와 내부 데이터를 관리하기 위한 프로세스와 시스템을 검토합니다. 시스템 침입 징후를 사전에 검토하고, 타깃 공격 그룹을 조기에 탐지하여 대응합니다. 심각한 영향을 미치는 보안 취약점이 있는 소프트웨어와 애플리케이션의 버전을 검토하고 업그레이드합니다.

아시아 태평양 국가들의 기술진이 APT 공격 대응 훈련을 실시하고 있습니다 . 'APT 공격 대응: 어려운 문제 해결 방안 모색'을 주제로 8월 29일 개최된 APCERT 2024 국제 훈련에는 베트남을 비롯한 아시아 태평양 국가들의 기술진이 참여했습니다.