평창 동계 올림픽 개막식에 사이버 공격을 감행했던 해킹조직이 활동을 재개했다.

카스퍼스키랩은 2월 평창 동계 올림픽 공격에 쓰였던 악성코드 '올림픽 파괴자' 배후 조직이 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아에 있는 생화학 공격 방어 관련 기관을 노리고 있다고 밝혔다. 생화학 공격 연구 기관은 보안 실태 점검이 필요하다.

올림픽 파괴자 조직은 네트워크 웜 바이러스를 이용해 평창 동계 올림픽 주최측과 협력 업체를 공격했다.

해당 조직은 최근 동계 올림픽 공격때 쓰인 문서와 유사한 스피어 피싱 문서로 악성코드를 유포했다. 피해자를 유인하는데 쓰인 문서 중에 스위스에서 열린 생화학 공격 콘퍼런스를 언급하는 문서가 포함됐다. 우크라이나의 보건과 축산 관리 정부 기관을 표적한 문서도 발견됐다. 일부 스피어피싱 문서는 러시아어와 독일어로 작성됐다.

문서에서 추출된 모든 최종 악성 행위는 감염된 컴퓨터에 일반 액세스를 제공하게 설계됐다. 두번째 공격 단계에서는 '파워쉘 엠파이어(PowerShell Empire)'로 알려진 오픈소스 프레임워크가 사용됐다. 공격자는 유명 오픈소스 콘텐츠 관리 시스템(CMS)을 사용하는 정상 웹 서버를 감염시켜 악성 코드를 호스팅하고 제어한다.

이창훈 카스퍼스키랩코리아 대표는 “올해 초 나타난 올림픽 파괴자 위장 기법은 기존 공격자 추적 기법을 완전히 흔들었다”면서 “전체 그림이 아닌 눈에 드러난 일부 조각만으로 판단을 내리면 얼마나 쉽게 실수하는지 보여줬다”고 말했다. 이어 “지능적인 위협에 대한 분석과 대책은 국가를 넘어 민간 부문과 정부 간 협력을 기반으로 해야 한다”고 덧붙였다.

Photo Image

김인순 보안 전문기자 insoon@etnews.com