카스퍼스키가 아시아 태평양(APAC) 지역 산업 조직을 목표로 한 새로운 사이버 공격 ‘SalmonSlalom(살몬슬라럼)’을 발견했다. 이번 공격에서 해커는 정식 클라우드 서비스를 악용하고 합법적인 소프트웨어를 활용한 다단계 악성코드 배포 방식을 사용했다. 이는 네트워크 전체에 악성코드를 퍼뜨리고 원격 관리 도구를 설치해 기밀 정보를 탈취하는 등 피해를 발생시켰다.
이 공격은 대만·말레이시아·중국·일본·태국·홍콩·한국·싱가포르·필리핀·베트남 등 APAC 지역 전반의 산업 조직과 정부 기관을 대상으로 했다. 공격자는 세금 관련 문서를 위장한 ZIP 압축 파일을 이메일 및 메신저로 유포하는 피싱 캠페인으로 피해자에게 접근했다. 감염된 시스템에는 원격 액세스 트로이목마(RAT)인 ‘FatalRAT’이 설치되는 것으로 확인됐다.
이전에도 Gh0st RAT, SimayRAT, Zegost, FatalRAT 같은 오픈소스 RAT이 활용된 사례가 있었으나, 이번 공격에서는 중국어 사용자를 겨냥한 새로운 전술과 기술 변화가 두드러졌다. 특히 공격자는 중국 기반 클라우드 서비스인 myqcloud와 Youdao Cloud Notes를 이용해 악성코드를 전달하고, 탐지를 피하기 위해 ‘동적 제어 서버 변경’, ‘웹 리소스에 악성 파일 배치’, ‘합법적인 애플리케이션의 취약점 악용’ 등 다양한 기법을 활용했다.
카스퍼스키는 연어가 급류를 거슬러 올라가듯 보안 체계를 회피하며 공격을 수행하는 점에서 착안해 이번 캠페인을 ‘SalmonSlalom’이라고 명명했다. 이어 SalmonSlalom 공격에 대응하기 위해 ‘이중 인증(2FA) 활성화’, ‘최신 보안 솔루션 설치 및 업데이트’, ‘보안 설정 강화’, ‘운영 체제 및 애플리케이션 최신 보안 패치 적용’, ‘SIEM 시스템 도입’, ‘EDR·XDR·MDR 솔루션 활용’을 권장했다.
아드리안 히아 카스퍼스키 아시아 태평양 총괄은 “이번 공격은 점점 더 정교해지는 위협 행위자의 전략으로 정식 클라우드 서비스와 소프트웨어를 악용해 기존 보안 탐지 체계를 우회하고 있다”며 “산업 조직은 보안 인식을 강화하고 위협 탐지 능력을 높이고 정보 공유를 확대해 대응력을 강화해야 한다”고 강조했다.
에브게니 곤차로프 카스퍼스키 ICS CERT 책임자는 “이번 공격은 OT 환경에서 해커들이 원격 접근 권한을 획득할 수 있음을 보여주는 사례”라며 “기업은 위협을 인식하는 것이 보안 강화의 첫 단계이며 이를 통해 자산과 데이터를 효과적으로 보호해야 한다”고 전했다.
헬로티 구서경 기자 |
