미국의 첫 번째 공식 공격 가능성 인정...사회 기반 시설, 금융 분야 특히 조심
이란 공격자들이 주로 사용하는 전략과 도구에 대해서도 설명해
[보안뉴스 문가용 기자] 미국과 이란의 관계가 극으로 치달으면서 미국 국토안보부는 이란발 사이버 공격에 주의하라는 경고를 발표하기 시작했다. DHS 산하의 사이버 보안 특수 전담 부서인 CISA는 “이란은 국가적 보복의 일환으로 사이버 공격이라는 수법을 자주 사용해왔다”며 “디도스와 같은 공격은 물론 파괴형(삭제형) 공격까지 실행한 전적이 있다”고 경고했다.
[이미지 = iclickart]
최근 이란 정부와 관련이 있다고 알려진 사이버 공격 그룹은 각종 기술을 익히고 단련시켜 왔다. 과거에는 디페이싱 공격이 거의 전부였다면, 이제는 디도스 공격 및 데이터 탈취와 삭제 공격도 할 수 있게 됐다. 삭제형 공격은 전통적 의미의 ‘물리적 공격’과 가장 유사한 효과를 가진 사이버 공격으로 알려져 있다.
이번 CISA의 경고문은 이란 해커들의 공격 가능성에 대해 미국 정부가 처음 발표한 ‘공식 경고’이다. 미국은 지난 주 이란의 2인자로 알려진 솔레이마니 장군을 드론으로 암살했고, 이에 크라우드스트라이크(CrowdStrike)와 레코디드 퓨처(Recorded Future) 등 보안 업체들이 개별적으로 이란의 사이버 공격에 대비해야 한다는 목소리를 낸 바 있다. 두 회사 모두 공격이 시작되고 있다는 증거를 잡아내지 못했지만, 과거 이란의 행보가 그래왔다는 것을 근거로 들었다. 미국과 동맹 관계에 있는 국가의 조직들과 페르시아만에 주둔한 조직들도 위험하다고 둘은 경고했다.
미국의 조직들을 공격해 피해를 줄 수 있는 이란 해킹 단체들은 여럿 존재한다. 그 중 첫 번째로 꼽히는 건 APT33으로, 중동 지역에서 가장 활발하게 활동하는 APT 그룹으로 알려져 있다. 이들은 오일리그(OilRig)나 머디워터(MuddyWater)라는 이름으로도 불린다. APT39도 이란 정부와 관련이 있다고 알려진 단체로, 주로 기술, 여행, 통신 분야를 공격한다.
“APT33과 APT39는 주로 금융, 에너지, 통신, SCADA/ICS를 노려오던 그룹”이라고 보안 업체 노비포(KnowBe4)의 부회장인 로사 스모더즈(Rosa Smothers)는 말한다. “사회 기반 시설을 담당하고 있는 업체들 중 APT33과 APT39에 당한 줄도 모르고 있는 곳이 많습니다. 따라서 만약 이 두 그룹이 진짜로 움직이기 시작한다면, 이미 침투에 성공한 사회 기반 시설 관련 업체들부터 공격할 가능성이 높습니다.”
스모더즈는 이들을 막기 위해 다음과 같은 조치를 취해야 한다고 권장한다.
1) 심층 방어 전략을 구사하고 도입한다.
2) 임직원들을 교육시켜 피싱 공격을 파악하는 방법을 알려준다.
3) 흔히 사용되는 침투 기법과, 흔히 뚫리는 비밀번호를 사용하지 않는다.
또 다른 보안 업체 사이웨어 랩스(Cyware Labs)의 CEO인 아누이 고엘(Anuj Goel)은 “이란의 APT 단체들이 주로 노리는 조직이라면 특히 더 조심해야 한다”고 말한다. “그런 산업에 있는 조직들은 침해지표, 전략, 기술, 침투 과정 등을 주의 깊게 살펴야 합니다. 이란 해커들은 엔제이랫(njRAT), 리벤지랫(RevengeRAT), 노노코어랫(NonoCoreRAT) 등을 즐겨 사용해온 것으로 알려져 있습니다. 이런 장비들이 활용될 때 나타나는 신호들을 잘 잡아내야 할 것입니다.”
CISA 역시 경고문을 발표하며 이란의 APT 그룹들이 주로 사용하는 기법들을 공개했다.
1) 크리덴셜 덤핑
2) 파일 난독화
3) 파워셸 남용
4) 정상 시스템 기능 남용(레지스트리, 시작 프로그램 폴더 등)
그러면서 불필요하게 포트나 프로토콜을 활성화시키지 말며, 이메일과 네트워크 트래픽을 모니터링 하라고 강조하기도 했다.
“더 이상 사용하지 않는 계정들도 전부 삭제하고, 이상한 시간대에 비정상적으로 로그인한 계정들은 전부 추적하십시오. 이란 정부가 뒤에 있을지 모릅니다.” 스모더즈의 설명이다. “또한 이란의 근무 시간을 잘 알아두십시오. 최근까지 이란 해커들은 거의 대부분 이란 기준 정상 근무 시간에만 활동하는 모습도 보여왔기 때문입니다.”
3줄 요약
1. 미국의 국토안보부, 이란 해킹 공격 경고하는 첫 번째 공식 문서 발표.
2. 이란의 APT 그룹들이 잘 노리는 산업과, 잘 사용하는 도구들도 함께 공개.
3. 미국만이 아니라 미국의 동맹국들도 위험할 수 있으니 조심.
[국제부 문가용 기자(globoan@boannews.com)]
이란 공격자들이 주로 사용하는 전략과 도구에 대해서도 설명해
[보안뉴스 문가용 기자] 미국과 이란의 관계가 극으로 치달으면서 미국 국토안보부는 이란발 사이버 공격에 주의하라는 경고를 발표하기 시작했다. DHS 산하의 사이버 보안 특수 전담 부서인 CISA는 “이란은 국가적 보복의 일환으로 사이버 공격이라는 수법을 자주 사용해왔다”며 “디도스와 같은 공격은 물론 파괴형(삭제형) 공격까지 실행한 전적이 있다”고 경고했다.
[이미지 = iclickart]
최근 이란 정부와 관련이 있다고 알려진 사이버 공격 그룹은 각종 기술을 익히고 단련시켜 왔다. 과거에는 디페이싱 공격이 거의 전부였다면, 이제는 디도스 공격 및 데이터 탈취와 삭제 공격도 할 수 있게 됐다. 삭제형 공격은 전통적 의미의 ‘물리적 공격’과 가장 유사한 효과를 가진 사이버 공격으로 알려져 있다.
이번 CISA의 경고문은 이란 해커들의 공격 가능성에 대해 미국 정부가 처음 발표한 ‘공식 경고’이다. 미국은 지난 주 이란의 2인자로 알려진 솔레이마니 장군을 드론으로 암살했고, 이에 크라우드스트라이크(CrowdStrike)와 레코디드 퓨처(Recorded Future) 등 보안 업체들이 개별적으로 이란의 사이버 공격에 대비해야 한다는 목소리를 낸 바 있다. 두 회사 모두 공격이 시작되고 있다는 증거를 잡아내지 못했지만, 과거 이란의 행보가 그래왔다는 것을 근거로 들었다. 미국과 동맹 관계에 있는 국가의 조직들과 페르시아만에 주둔한 조직들도 위험하다고 둘은 경고했다.
미국의 조직들을 공격해 피해를 줄 수 있는 이란 해킹 단체들은 여럿 존재한다. 그 중 첫 번째로 꼽히는 건 APT33으로, 중동 지역에서 가장 활발하게 활동하는 APT 그룹으로 알려져 있다. 이들은 오일리그(OilRig)나 머디워터(MuddyWater)라는 이름으로도 불린다. APT39도 이란 정부와 관련이 있다고 알려진 단체로, 주로 기술, 여행, 통신 분야를 공격한다.
“APT33과 APT39는 주로 금융, 에너지, 통신, SCADA/ICS를 노려오던 그룹”이라고 보안 업체 노비포(KnowBe4)의 부회장인 로사 스모더즈(Rosa Smothers)는 말한다. “사회 기반 시설을 담당하고 있는 업체들 중 APT33과 APT39에 당한 줄도 모르고 있는 곳이 많습니다. 따라서 만약 이 두 그룹이 진짜로 움직이기 시작한다면, 이미 침투에 성공한 사회 기반 시설 관련 업체들부터 공격할 가능성이 높습니다.”
스모더즈는 이들을 막기 위해 다음과 같은 조치를 취해야 한다고 권장한다.
1) 심층 방어 전략을 구사하고 도입한다.
2) 임직원들을 교육시켜 피싱 공격을 파악하는 방법을 알려준다.
3) 흔히 사용되는 침투 기법과, 흔히 뚫리는 비밀번호를 사용하지 않는다.
또 다른 보안 업체 사이웨어 랩스(Cyware Labs)의 CEO인 아누이 고엘(Anuj Goel)은 “이란의 APT 단체들이 주로 노리는 조직이라면 특히 더 조심해야 한다”고 말한다. “그런 산업에 있는 조직들은 침해지표, 전략, 기술, 침투 과정 등을 주의 깊게 살펴야 합니다. 이란 해커들은 엔제이랫(njRAT), 리벤지랫(RevengeRAT), 노노코어랫(NonoCoreRAT) 등을 즐겨 사용해온 것으로 알려져 있습니다. 이런 장비들이 활용될 때 나타나는 신호들을 잘 잡아내야 할 것입니다.”
CISA 역시 경고문을 발표하며 이란의 APT 그룹들이 주로 사용하는 기법들을 공개했다.
1) 크리덴셜 덤핑
2) 파일 난독화
3) 파워셸 남용
4) 정상 시스템 기능 남용(레지스트리, 시작 프로그램 폴더 등)
그러면서 불필요하게 포트나 프로토콜을 활성화시키지 말며, 이메일과 네트워크 트래픽을 모니터링 하라고 강조하기도 했다.
“더 이상 사용하지 않는 계정들도 전부 삭제하고, 이상한 시간대에 비정상적으로 로그인한 계정들은 전부 추적하십시오. 이란 정부가 뒤에 있을지 모릅니다.” 스모더즈의 설명이다. “또한 이란의 근무 시간을 잘 알아두십시오. 최근까지 이란 해커들은 거의 대부분 이란 기준 정상 근무 시간에만 활동하는 모습도 보여왔기 때문입니다.”
3줄 요약
1. 미국의 국토안보부, 이란 해킹 공격 경고하는 첫 번째 공식 문서 발표.
2. 이란의 APT 그룹들이 잘 노리는 산업과, 잘 사용하는 도구들도 함께 공개.
3. 미국만이 아니라 미국의 동맹국들도 위험할 수 있으니 조심.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
