전 세계적으로 사이버 보안 위협은 날로 복잡해지고 있습니다. 특히 남아시아와 동아시아를 대상으로 한 고도화된 해커 그룹들의 움직임이 주목받고 있는데, 최근 발표된 Cloudflare의 보고서는 이러한 활동을 더욱 상세히 다루고 있습니다. 이번 글에서는 보고서의 주요 내용을 중심으로 SloppyLemming 그룹의 사이버 스파이 활동과 그 대응 방안을 소개하고자 합니다.
이 글에서 다룰 주요 내용:
- SloppyLemming 해커 그룹의 주요 활동
- 공격 기법 및 표적
- 사이버 보안에 대한 시사점과 대응 방안
SloppyLemming 해커 그룹 개요
Cloudflare의 최신 보고서에 따르면, SloppyLemming (일명 Outrider Tiger 또는 Fishing Elephant)으로 알려진 해커 그룹이 2021년 7월부터 남아시아 및 동아시아 국가들을 대상으로 사이버 스파이 활동을 전개하고 있습니다. 이 그룹은 정부 기관, 법 집행 기관, 에너지, 교육, 통신 분야의 주요 기관들을 표적으로 삼고 있으며, 특히 파키스탄, 스리랑카, 방글라데시, 중국 등의 국가들이 그 타겟입니다.
이들의 공격은 단순한 해킹을 넘어선 정교한 사이버 스파이 행위로, 국가 간 갈등이나 정보 수집 목적에 근거한 것으로 보입니다.
주요 공격 기법
SloppyLemming 그룹은 여러 복합적인 사이버 공격 기법을 통해 표적 기관들의 자격 증명 탈취 및 악성코드 배포를 수행하고 있습니다. 다음은 그들이 주로 사용하는 공격 기법들입니다.
1. 피싱 공격을 통한 자격 증명 탈취
이 그룹은 스피어 피싱 이메일을 이용해 피해자를 악성 링크로 유도하고 있습니다. 특히 이들이 사용하는 CloudPhish라는 맞춤형 도구는 Cloudflare Worker를 생성하여 자격 증명을 기록하고 유출하는 데 사용됩니다. Cloudflare Workers를 이용한 이러한 공격은 피해자의 자격 증명을 실시간으로 수집하고 외부로 유출하는 등 매우 정교한 방식으로 이루어지고 있습니다.
2. 악성코드 배포
이들은 또한 WinRAR의 취약점(CVE-2023-38831)을 악용하여 RAR 파일을 사용한 악성코드 배포를 시도하고 있습니다. 이 악성코드 중 하나는 원격 접근 트로이 목마(Remote Access Trojan, RAT)로, 이를 통해 피해자의 시스템에 원격 접속이 가능해지며, 이는 Dropbox와 같은 클라우드 스토리지 서비스를 통해 배포되고 있습니다.
3. 클라우드 서비스 악용
SloppyLemming 그룹은 여러 클라우드 서비스를 이용하여 공격을 수행하고 있으며, 그 중 하나는 Cloudflare Workers를 활용하여 자격 증명을 수집하고 악성코드를 전달하며 명령 및 제어(C2) 서버로 사용되고 있습니다. 이 같은 방식은 탐지를 회피하고 공격 활동을 더욱 은밀하게 유지하는 데 큰 역할을 하고 있습니다.
주요 표적 및 목표
이 그룹의 주요 표적은 남아시아와 동아시아 국가들로, 특히 파키스탄과 스리랑카, 방글라데시의 정부 및 법 집행 기관들이 집중 공격을 받고 있습니다. 그 외에도 중국의 에너지 관련 기관과 학술 기관도 일부 표적이 된 것으로 파악됩니다.
파키스탄
- 파키스탄 경찰 및 법 집행 기관에 대한 공격이 두드러지며, 이는 파키스탄 유일의 핵발전소 운영 및 유지보수 관련 기관에도 영향을 미칩니다.
스리랑카 및 방글라데시
- 정부 및 군사 조직이 주된 타겟으로, 이들 국가의 중요한 정보 수집과 전략적 공격이 이루어지고 있습니다.
중국
- 중국 내 에너지 및 학술 분야 기관들이 SloppyLemming 그룹의 타겟으로 확인되었습니다.
국제적 맥락: 지정학적 갈등과 사이버 스파이 활동
이러한 공격들은 남중국해 분쟁과 같은 지정학적 갈등과 깊이 연관되어 있으며, 정보 수집을 목적으로 한 것으로 추정됩니다. 특히 중국과 미국 간의 사이버 전쟁이 국제적으로 우려되고 있는 가운데, 미국 사이버보안 당국 역시 중국의 대규모 사이버 공격을 경고하고 있습니다.
이러한 국제적 맥락 속에서 SloppyLemming과 같은 그룹들은 국가 간 경쟁과 정보 수집을 목적으로 사이버 공간을 적극적으로 이용하고 있는 상황입니다.
대응 방안
이와 같은 고도화된 사이버 위협에 대응하기 위해선, 각국의 정부와 기업들이 지속적인 보안 체계 강화를 도모해야 합니다. SloppyLemming과 같은 해커 그룹의 공격으로부터 안전을 유지하기 위한 대응 방안을 몇 가지 제시하자면 다음과 같습니다.
1. 24/7 모니터링 체계 구축
24시간 모니터링 시스템을 구축하여 실시간으로 위협을 탐지하고 대응할 수 있어야 합니다.
2. 적극적인 위협 탐지 활동 수행
기업과 기관은 위협 탐지 및 사이버 보안 훈련을 강화해 공격이 발생하기 전에 사전 대응할 수 있어야 합니다.
3. 공급망 공격에 대한 경계 강화
최근 많은 공격이 공급망을 통해 이루어지고 있는 만큼, 외부 파트너 및 공급업체와의 보안 협력을 강화할 필요가 있습니다.
결론: SloppyLemming의 사이버 스파이 활동을 통해 본 보안 중요성
이번 Cloudflare 보고서를 통해 SloppyLemming 그룹의 사이버 스파이 활동은 남아시아 및 동아시아 국가들의 보안 환경에 큰 영향을 미치고 있음을 알 수 있었습니다. 이들의 정교한 공격 기법은 단순한 해킹을 넘어선 복합적인 스파이 활동으로, 각국의 정부 및 기관들이 보다 강력한 사이버 보안 대응 방안을 마련해야 할 필요성을 시사합니다.
국제적 사이버 보안 협력의 중요성은 점점 더 커지고 있으며, 특히 지정학적 갈등이 사이버 공간으로 확산되면서 그 위협은 더욱 심각해지고 있습니다. 각국은 이러한 위협에 대비해 지속적인 모니터링과 적극적인 대응을 강화해야 할 것입니다.
주요 키워드:
Cloudflare 보고서, SloppyLemming 해커 그룹, 사이버 스파이 활동, 남아시아, 동아시아, 피싱 공격, 악성코드, 클라우드 서비스, 사이버 보안, 위협 대응, 지정학적 갈등
이번 글을 통해 독자 여러분들이 사이버 스파이 활동에 대한 경각심을 가지고, 각자의 보안 체계를 강화하는 데 조금이라도 도움이 되기를 바랍니다.