[디지털데일리 최민지기자] 평창동계올림픽 개막식을 노린 파괴형 네트워크 웜바이러스 공격으로 유명해진 ‘올림픽 디스트로이어’ 배후 조직이 유럽 생화학 위협 대응기관을 타깃으로 하고 있다.
22일 카스퍼스키랩에 따르면 이들은 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있다.
올림픽 디스트로이어는 파괴적인 네트워크 웜바이러스를 이용해 사이버 사보타주 작전으로 2018년 평창동계올림픽 주최 측과 협력업체를 덮친 지능형 공격이다. 연구원들은 올림픽 디스트로이어 공격이 기존 침투 및 정찰 도구를 이용해 유럽에 있는 기관을 표적으로 다시 활동을 재개하고 있다고 밝혔다.
이 공격자는 동계올림픽 공격 준비에 사용된 공격 문서와 매우 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 스위스에서 열린 생화학 공격 컨퍼런스인 ‘Spiez Convergence’를 언급하는 문서가 있었다. 또 다른 문서는 우크라이나의 보건 및 축산 관리 정부 기관을 표적으로 하고 있으며 일부 스피어피싱 문서는 러시아어와 독일어로 작성돼 있었다.
악성 문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하도록 설계됐다. 두 번째 공격 단계에서는 파워셀 엠파이어(PowerShell Empire)로 널리 알려진 무료 오픈 소스 프레임워크가 사용됐다.
공격자들은 유명 오픈소스 콘텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성코드를 호스팅하고 제어하는 것으로 보인다. 업데이트하지 않는 CMS가 서버 해킹에 사용될 위험이 있다.
동계올림픽 기간 벌어진 공격에서 정찰 단계는 실질적인 공세 두세 달 전에 시작됐다. 올림픽 디스트로이어는 새로운 목적으로 유사한 공격을 준비하고 있을 가능성이 높다. 생화학 공격 연구 기관의 경우 계속 경각심을 가지고, 가능한 경우 보안 실태 점검을 실시해야 한다.
이창훈 카스퍼스키랩코리아 지사장은 “지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 한다”며 “카스퍼스키랩에서 공개한 연구 결과를 통해 사고 대책 담당자들과 보안 연구원들이 향후 어떤 단계에서든 유사한 형태의 공격을 빠르게 탐지하고 효과적으로 피해를 줄일 수 있기를 바란다”고 말했다.