‘낡은 무기’로 태국, 인도네시아 등 교묘히 침투

[보안뉴스 김형 기자] 인도와 연계된 것으로 추정되는 해킹 조직 사이드와인더(SideWinder)가 최근 태국과 인도네시아를 포함한 동남아시아 전역으로 공격 범위를 크게 확장했다. 이들은 정부의 감사를 사칭한 스피어피싱 메일을 유포해 공무원과 국가 기관 종사자들의 클릭을 유도하는 수법을 쓴다.


다크리딩 등 외신에 따르면, 2012년부터 활동해 온 사이드와인더는 최근 지부티, 이집트 등 홍해 관문을 넘어 베트남, 캄보디아를 포함한 동남아시아 전역의 해양 인프라와 물류 기업으로 공격 범위를 무섭게 넓히고 있다.

침투 기법은 의외로 단순하다. 이미 패치된 지 오래된 MS 오피스의 취약점과 DLL 하이재킹 수법을 수 년째 반복 사용하고 있다.

하지만 이들의 무서움은 침투 이후의 ‘끈질긴 생존력’에 있으며, 윈도우 서비스에 악성 코드를 심어 장기적인 접근권을 철저히 유지한다.

최근에는 악성 코드 실행 시점에 C2 서버 주소를 실시간으로 할당받는 방식을 도입, 보안 장비의 추적을 완벽하게 따돌리고 있다. 단순한 파일 이름 변경만으로 공격 인프라를 통째로 갈아치우며, 보안팀의 대응 속도를 압도한다.

동남아시아 사이버 보안 전문 기업인 ITSEC 그룹은 사이드와인더가 특정 네트워크를 피하도록 설계된 정밀한 설정을 사용해, 타겟 외의 부수적 피해를 최소화하며 은밀히 활동한다고 분석했다.

카스퍼스키 팀은 이들이 동남아를 넘어 이미 아프리카, 유럽, 중동 지역까지 뻗어 나가고 있는 움직임을 확인했다.

전문가들은 이 공격이 단순한 금전 갈취가 아니라, 국가적 이익을 위한 장기적인 정보 수집을 목적으로 한다고 결론지었다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>