파이어아이코리아(대표 전수홍)가 트리톤(TRITON) 분석 결과와 공격 배후를 공개했다. 트리톤은 산업제어시스템(ICS)를 주로 공격하는 악성코드로 고의로 직접 인명피해를 유도하는 '살인 악성 프로그램'으로도 유명하다.
파이어아이는 트리톤 침입활동이 모스크바 소재한 러시아 정부소유 기술연구기관과 연계 가능성이 높다고 판단 내렸다.
공격자는 기업 전산망 발판 마련 후 오퍼레이션테크놀러지(OT) 네트워크에 대한 접근 확보에 집중했다. 키 로거와 스크린샷 그래버, 파일 브라우징, 대량 데이터 유출 등과 같이 산업 스파이 행위와 흔히 연관되는 활동은 보이지 않았다. 공격 툴 대부분은 목표 환경에서 네트워크 정찰, 내부망 이동, 접근 유지 등에 집중했다.
침입 활동은 숨기고 사용된 툴과 활동에 대한 포렌식 조사를 저지하기 위해 △손상된 정상 사용자 계정 △표준 툴을 일상적으로 사용 △설치된 공격 툴, 실행 로그 등 파일 정기 삭제 했다.
공격자는 침입을 위해 트리톤을 배치했고, 트리톤 배치를 시도하는 동안 접근 상태를 유지하는 데 집중했다.
파이어아이는 해당 해커 그룹이 2014년부터 활동했으며 공격자들이 사용한 툴 대부분 이전에는 볼 수 없었다고 설명했다.
정영일기자 jung01@etnews.com
