22일 카스퍼스키랩(한국지사장 이창훈)은 ‘올림픽 디스트로이어’가 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아를 중심으로 생화학 공격 방어와 관련된 기관을 노리고 있는 것으로 보인다며 이같이 밝혔다.

‘올림픽 디스트로이어’는 2018년 평창 동계 올림픽 위원회와 협력업체를 덮친 지능형 공격이다. 이 공격의 발원지를 가리키는 지표가 다양하게 나타난 탓에, 카스퍼스키랩은 한 때 북한과 관계 있는 공격 집단인 라자루스(Lazarus)의 소행이라고 발표하기도 했다. 하지만 카스퍼스키랩의 정밀 확인 결과, ‘올림픽 디스트로이어’는 라자루스의 소행인 것처럼 위장한 것으로 밝혀졌다.

‘올림픽 디스트로이어’ 공격자는 동계 올림픽 공격 준비에 사용된 공격 문서와 매우 유사한 스피어피싱 문서를 통해 악성 코드를 유포하고 있다. 피해자를 유인하는 데 사용된 문서 중에서는 스위스에서 열린 생화학 공격 컨퍼런스인 ‘스피에즈 컨버전스(Spiez Convergence)’를 언급한 문서가 있었다. 어떤 문서는 우크라이나의 보건 및 축산 관리 정부 기관을 표적으로 하고 있으며 일부 스피어피싱 문서는 러시아어와 독일어로 작성돼 있는 것으로 나타났다.

악성 문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하도록 설계돼 있다. 두 번째 공격 단계에서는 파워셀 엠파이어(PowerShell Empire)로 널리 알려진 무료 오픈 소스 프레임워크가 사용됐다.

공격자들은 줌라(Joomla)라는 오픈소스 콘텐츠 관리 시스템(CMS)을 사용하는 정상적인 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어하는 것으로 보인다. 카스퍼스키랩 연구원들은 악성 페이로드를 호스팅하는 서버 중 하나가 2011년 11월에 릴리스된 줌라 버전 1.7.3을 사용한다는 사실을 밝혀냈다. 연구원들은 이는 업데이트하지 않는 CMS가 서버 해킹에 사용될 위험이 있음을 시사한다고 설명했다.

이창훈 카스퍼스키랩코리아 지사장은 “올해 초 나타난 ‘올림픽 디스트로이어’의 위장 기법은 기존 공격자 추적 기법을 완전히 흔들었고 전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 실수가 얼마나 쉽게 발생할 수 있는지 보여줬다”며, “이처럼 지능적인 위협에 대한 분석과 대책은 민간과 정부 간 협력을 기반으로 해야 한다. 카스퍼스키랩에서 공개한 연구 결과를 통해 사고 대책 담당자들과 보안 연구원들이 향후 어떤 단계에서든 유사한 형태의 공격을 빠르게 탐지하고 효과적으로 피해를 줄일 수 있기를 바란다”고 말했다.