글로벌 사이버 보안 기업 카스퍼스키(Kaspersky)가 카스퍼스키 글로벌 연구 및 분석 팀(GReAT)이 APT(지능형지속위협) 그룹 ‘사이드윈더(SideWinder)’의 집중 공격 대상이 남아시아 핵 발전소로 이동하는 추세임을 추적했다고 20일 밝혔다. 

사이드원더의 남아시아 핵 발전소와 에너지 시설의 공격 집중도가 높아지면서, 전통적인 활동 영역을 넘어서 지리적 확장을 하고 있다. 카스퍼스키 글로벌 연구 및 분석 팀은 사이드윈더가 핵시설로 산업 분야를 확대하고, 전 세계로 활동 영역을 확장하는 것뿐만 아니라 공격에서 전략적 진화가 이어지고 있다고 말했다. 

아프리카, 동남아시아, 유럽으로 확장

지난 2012년부터 활동을 시작한 사이드윈더는 그동안 정부, 군사, 외교 기관을 주요 타깃으로 삼아왔다. 하지만 이제 동남아시아의 해상 인프라 및 물류 회사들을 포함해 핵 분야를 새로운 타깃으로 삼아 피해자의 범위를 확장했다. 이들은 스피어 피싱 이메일과 산업 특화 용어가 포함된 악성 문서를 이용해 공격했다. 

특히 핵 시설을 타깃으로 할 때, 규제나 발전소와 관련된 사항을 우려하는 척하는 스피어 피싱 이메일을 제작한다. 문서가 열리면 공격자가 핵 시설 운영 데이터, 연구 프로젝트, 인사 정보 등에 접근할 수 있는 익스플로잇 체인(Exploit chain)을 시작한다.

카스퍼스키는 사이드윈더를 15개국, 3개 대륙에서 추적하고 있으며, 이들은 아프리카, 동남아시아, 유럽 일부 지역으로 활동 영역을 확장했다.

아프리카 지부티에서 수많은 공격을 시작한 뒤 이집트로 옮기고, 그 이후 모잠비크, 오스트리아, 불가리아, 캄보디아, 인도네시아, 필리핀, 베트남에서도 추가적인 작전을 개시한 것을 관찰했다. 아프가니스탄, 알제리, 르완다, 사우디아라비아, 튀르키예, 우간다의 외교 기관도 타깃이 됐다. 

카스퍼스키 바실리 베르드니코프(Vasily Berdnikov) 글로벌 연구 및 분석 팀 수석 보안 연구원은 “단순한 지리적 확장이 아니라, 사이드윈더의 역량과 야망에서의 전략적 진화다. 이들은 탐지 후 놀라운 속도로 업데이트된 멀웨어 변종을 배포하고 있다. 위협 환경을 사후 대응하는 방식에서 실시간 대응으로 전환해야 한다.”라고 말했다.

카스퍼스키 이효은 한국지사장은 “기업은 포괄적인 사이버 보안 접근법을 운영해야 한다. 여기에는 강력한 패치 관리, 머신러닝 기반 다층 방어 시스템, 그리고 고급 스피어 피싱 공격을 인식하고 완화하는 정기적인 직원 교육이 포함돼야 한다.”라고 말했다.