디지털화가 급속히 진행됨에 따라 사이버 보안 위협이 더욱 정교해지고 있다. 산업 제어 시스템(ICS)을 비롯한 주요 인프라가 해킹의 타깃이 되고 있으며, 이에 따른 보안 리스크가 증가하고 있다. 특히 아시아 태평양 지역에서는 정부 기관과 산업 조직을 겨냥한 사이버 공격이 지속적으로 증가하고 있다.

공격자들은 합법적인 서비스를 악용하여 탐지를 회피하는 방법을 발전시키고 있으며, 보안 시스템을 우회하기 위해 더욱 복잡한 기술을 사용하고 있다. 이에 따라 기업과 기관들은 최신 위협을 분석하고, 효과적인 보안 대응 전략을 수립하는 것이 필수적이다.

글로벌 보안 기업 카스퍼스키(Kaspersky)가 27일, 자사 산업제어시스템(ICS) 침해사고대응팀(CERT)이 APAC 지역의 산업 조직을 타깃으로 한 새로운 사이버 공격 ‘살몬슬라럼(SalmonSlalom)’을 발견했다고 발표했다.

이 공격은 정식 클라우드 서비스를 악용하여 악성코드를 관리하며, 탐지를 피하기 위해 합법적인 소프트웨어를 이용하는 복잡한 다단계 악성코드 배포 방식을 사용한 것이 특징이다. 공격자들은 이를 통해 조직 네트워크에 침투하여 원격 관리 도구를 설치하고, 네트워크를 장악하며 기밀 정보를 탈취하는 등의 악의적인 행위를 수행했다.

공격 탐지 정교한 회피 기술 적용...CND 서비스 악용

살럼슬라럼 공격은 대만, 말레이시아, 중국, 일본, 태국, 홍콩, 한국, 싱가포르, 필리핀, 베트남 등 아태 지역 여러 국가 및 기관을 대상으로 진행되었다. 공격자들은 이메일 및 메신저(WeChat, Telegram)를 이용한 피싱 캠페인을 통해 세금 관련 문서로 위장한 ZIP 파일을 유포했으며, 이 파일에 포함된 악성코드가 실행되면 원격 액세스 트로이목마(RAT)인 FatalRAT이 설치되었다.

특히, 이번 공격에서는 탐지를 피하기 위한 정교한 회피 기술이 적용되었다. 공격자들은 중국 클라우드 콘텐츠 전송 네트워크(CDN)인 myqcloud 및 Youdao Cloud Notes를 악용하여 제어 서버 및 악성 페이로드를 동적으로 변경하는 전략을 사용했다. 또한, 합법적인 소프트웨어의 취약점을 이용하여 악성코드를 실행하는 등 전통적인 보안 솔루션으로는 탐지가 어려운 기법이 적용되었다.

이전의 Gh0st RAT, SimayRAT, Zegost, FatalRAT 등을 사용한 공격과 유사한 점이 있으나, 이번 SalmonSlalom 공격에서는 중국어 사용자를 타깃으로 한 새로운 전술 및 기술 변화가 관찰되었다. 이는 특정 국가 및 언어권을 표적으로 한 맞춤형 공격 전략이 지속적으로 발전하고 있음을 시사한다.

위협 대응 및 보안 권장 사항

카스퍼스키는 이번 공격 캠페인을 ‘살몬슬라럼’이라고 명명했으며, 이는 연어가 급류를 거슬러 올라가듯 공격자들이 보안 방어 체계를 회피하며 지속적으로 전략을 변화시키는 모습에서 착안한 것이다.

카스퍼스키는 살몬슬라럼 공격 대응을 위해 다음과 같은 보안 조치를 권장하고 있다:

① 이중 인증(2FA) 활성화 : 보안 솔루션의 관리 콘솔 및 웹 인터페이스 로그인 시 이중 인증을 활성화하여 불법적인 접근을 차단해야 한다.

② 최신 보안 솔루션 적용 : 중앙에서 관리되는 보안 솔루션을 모든 시스템에 설치하고, 정기적으로 업데이트하여 최신 위협에 대비해야 한다.

③ 보안 정책 강화 : 보안 솔루션의 주요 기능을 비활성화할 수 없도록 정책을 설정하고, 관리자의 승인 없이 제거되지 않도록 해야 한다.

④ 운영 체제 및 애플리케이션 업데이트: 보안 패치를 즉시 적용하여 알려진 취약점을 악용한 공격을 차단해야 한다.

⑤ SIEM 및 EDR/XDR 솔루션 활용: 보안 이벤트 관리 시스템(SIEM)과 확장 탐지 및 대응(EDR/XDR) 솔루션을 도입하여 이상 징후를 신속하게 감지해야 한다.

⑥ OT 환경 보호 : 산업 제어 시스템(OT)에서 발생하는 프로세스 간 관계를 모니터링하여 비정상적인 활동을 탐지할 수 있도록 해야 한다.

이번 공격은 특정 해킹 그룹의 소행으로 확정되지는 않았지만, 중국어 기반 서비스 및 인터페이스의 지속적인 사용과 기술적 증거를 고려할 때 중국어를 사용하는 위협 행위자가 관련되었을 가능성이 높다.

카스퍼스키의 아드리안 히아(Adrian Hia) 아시아 태평양 총괄 지사장은 “이 공격은 위협 행위자들이 점점 더 은밀하고 적응력 높은 방식으로 공격을 수행하고 있음을 보여준다. 정식 클라우드 서비스와 합법적인 소프트웨어를 악용하여 기존 보안 솔루션의 탐지를 우회하고 있다.”라고 설명했다. 또한, 그는 “아태 지역 기업을 겨냥한 공격 방식이 지속적으로 진화하고 있으며, 이를 방어하기 위해 조직들은 보안 인식을 강화하고 위협 탐지 역량을 향상시켜야 한다.”라고 강조했다.

카스퍼스키의 ICS CERT 책임자인 에브게니 곤차로프(Evgeny Goncharov) 또한 “이번 캠페인은 산업 제어 시스템(OT) 환경에서도 위협 행위자들이 성공적으로 침투할 수 있음을 보여준다.”라며, “조직들이 이러한 위협을 인식하고 보안 강화를 위한 조치를 취하는 것이 무엇보다 중요”하다고 말했다.