정교한 스피어피싱 기법 활용…기밀 데이터가 탈취
글로벌 사이버 보안 기업 카스퍼스키(Kaspersky)가 APT(지능형 지속 공격) 그룹 ‘사이드윈더(SideWinder)’의 공격 패턴을 추적한 결과, 이 조직이 남아시아의 핵무기 관련 기관을 집중적으로 노리고 있으며, 활동 범위를 아프리카와 유럽 일부 지역까지 확장하고 있다고 밝혔다.
카스퍼스키 글로벌 연구 및 분석팀(GReAT)은 사이드윈더가 기존 군사 및 외교 관계자를 주요 표적으로 삼던 방식에서 벗어나, 최근 핵 관련 기관과 원자력 발전소 및 에너지 시설을 대상으로 공격을 강화하고 있다고 분석했다. 특히 이 조직은 정교한 스피어피싱 공격 기법을 활용하여 내부 기밀 문서에 접근하고 있으며, 이를 통해 핵무기 관련 연구 자료 및 운영 데이터를 탈취하려는 시도가 포착됐다.
사이드윈더는 2012년부터 활동을 시작한 해커 그룹으로, 주로 남아시아 지역에서 공격을 감행해왔다. 하지만 최근 아프리카 및 유럽 일부 지역에서도 공격이 확인되면서, 이 조직의 영향력이 빠르게 확장되고 있다는 점이 주목된다.
카스퍼스키 연구진에 따르면, 사이드윈더는 핵 관련 기관을 대상으로 산업 특화 문서를 포함한 스피어피싱 이메일을 사용해 공격을 수행하고 있다. 이러한 이메일은 핵무기 금지 또는 관련 규제와 관련된 내용으로 위장되어 있으며, 피해자가 첨부 파일을 열 경우 악성 코드가 실행되어 기밀 데이터가 유출되는 방식이다.
이 그룹은 여전히 기존 취약점(CVE-2017-11882)을 활용한 Microsoft Office 익스플로잇 체인을 사용하고 있지만, 공격 도구를 빠르게 업데이트하며 지속적으로 변형된 악성코드를 배포하고 있다. 이는 APT 그룹이 보다 정교한 형태로 진화하고 있으며, 기존 방어 체계를 우회할 가능성이 높아지고 있음을 시사한다.
사이드윈더, 남아시아 넘어 아프리카 및 유럽까지 활동 확장
카스퍼스키의 분석에 따르면, 사이드윈더는 현재 15개국, 3개 대륙에서 활동 중이다. 이들은 아프가니스탄, 알제리, 르완다, 사우디아라비아, 튀르키예(터키), 우간다 등의 외교 기관을 공격 대상으로 삼고 있으며, 아프리카에서는 지부티(Djibouti), 이집트(Egypt), 모잠비크(Mozambique) 등을 공격하고 있는 것으로 나타났다. 유럽에서는 오스트리아(Austria), 불가리아(Bulgaria) 등의 국가에서 활동이 감지됐다.
이효은 카스퍼스키코리아 지사장은 “사이드윈더의 핵무기 관련 기관 공격은 단순한 타깃 변경이 아니라, 이 그룹의 공격 능력과 범위가 확장되고 있음을 의미한다”며, “이들은 스파이 활동을 넘어 유럽과 아프리카 일부 지역까지 공격을 확장하고 있어, 글로벌 보안 체계에 새로운 위협이 되고 있다”고 말했다.
카스퍼스키는 사이드윈더의 위협에 대응하기 위해 기업과 기관이 보안 조치를 강화할 것을 권장했다. 우선, 최신 보안 패치를 신속하게 적용하고 취약점 평가 및 패치 관리 솔루션을 활용하여 보안 허점을 줄이는 것이 중요하다. 또한, 머신러닝 기반의 다층 보안 솔루션을 도입해 다양한 소스로부터 데이터를 수집하고 분석하여 잠재적인 위협을 조기에 탐지해야 한다.
특히, 스피어피싱과 같은 사회공학적 공격을 예방하기 위해 직원들을 대상으로 사이버 보안 인식 교육을 강화하는 것도 필수적이다. 외부에서 유입되는 의심스러운 이메일을 주의 깊게 확인하고, 내부 보안 프로세스를 철저히 준수하는 것이 중요하다.
카스퍼스키는 최신 보안 솔루션을 제공하며 기업과 기관이 변화하는 사이버 위협에 신속히 대응할 수 있도록 지속적인 보안 업데이트를 제공할 계획이다.
[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)
-주최: 데일리시큐
-일시 2025년 4월 15일(화) / 오전 9시~오후 5시
-장소: 한국과학기술회관 국제회의실 및 로비
-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)
-참가비: 현업 보안실무자는 무료
-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정
-등록마감: 2025년 4월 13일 오후 5시까지
-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가
-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-사전등록 필수: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[주의] 심각한 윈도우 제로데이 취약점, 2017년부터 11개 국가 지원 해킹 그룹에 악용돼](https://www.dailysecu.com/news/photo/202503/164671_192996_912.jpg)
![국정원장도 날린 ‘일심회’ 실체…前대공수사단장 첫 육성 증언 [남북 스파이전쟁 탐구 4부-①]](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202503/19/c0e0b2d9-dfb1-4c4d-9e38-519324c5eebe.jpg)
