평창올림픽 공격했던 해킹세력, 이번엔 유럽 생화학 기관 공격

카스퍼스키랩코리아 제공

[이데일리 이재운 기자] 평창 동계올림픽 개막식 당시 해킹 공격에 사용된 악성코드가 이번에는 유럽의 생화학 분야 대응기관을 공격하고 있는 것으로 확인됐다.

22일 러시아 보안업체 카스퍼스키랩은 ‘올림픽 디스트로이어’ 악성코드와 배후세력을 추적한 결과 최근 이들이 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있다고 밝혔다.

이 공격 세력은 지난 2월 올림픽 개막식 당시 대회 조직위원회 서버를 마비시켜 일시적으로 장애를 일으켰으나 이후 후속 공격없이 떠나 큰 피해는 발생하지 않았다. 네트워크 상에 웜바이러스를 이용해 공격하며, 한때 북한 해킹그룹 ‘라자루스’ 연관설이 제기됐으나 카스퍼스키랩은 연관성이 낮은 것으로 파악했었다.

추적 조사연구에 따르면 공격자들은 올림픽 공격 준비에 사용된 공격 문서와 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 스위스에서 열린 생화학 공격 콘퍼런스(Spiez Convergence)를 언급하는 문서 등 생화학 분야 전문가를 겨냥한 공격 양상이 확인됐다.

특히 우크라이나 보건·축산 관련 기관을 표적으로 하고 있으며, 일부 문서는 러시아어와 독일어로 작성된 점도 포착됐다. 공격자들은 오픈 소스 컨텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어하는 것으로 보인다.

이창훈 카스퍼스키랩코리아 지사장은 “올해 초 나타난 올림픽 디스트로이어의 위장 기법은 기존 공격자 추적 기법을 완전히 흔들어 놓았고 전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 실수가 얼마나 쉽게 발생할 수 있는지 보여줬다”며 “이처럼 지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 한다”고 설명했다.