중동에서 또다시 국가 기반시설(CNI)을 겨냥한 은밀한 사이버 공격이 감지되었습니다.
이번 공격의 배후는 이란 정부와 연계된 것으로 알려진 APT 그룹 "Lemon Sandstorm"으로,
장장 2년에 걸쳐 상대국의 네트워크에 침투했지만,
결국 주요 목표였던 OT(운영 기술) 환경을 장악하는 데는 실패한 것으로 밝혀졌습니다.
VPN 탈취로 시작된 침투… 교묘한 장기 침투 전략 🕵️
이번 공격은 최소 2년 전, 공격자가 탈취한 VPN 자격 증명을 통해 내부 네트워크에 접근하면서 시작되었습니다.
일주일 만에 외부에 노출된 Microsoft Exchange 서버 두 곳에 웹셸이 설치되었고,
이후 은폐성 강화를 위한 업데이트까지 진행되었습니다.
Fortinet의 FortiGuard Incident Response 팀은 공격자들이 이후 20개월 동안 지속적으로 기능을 추가하고,
맞춤형 공격 도구 5개 이상을 설치했으며, 이 과정에서 데이터 탈취는 거의 이루어지지 않았다고 밝혔습니다.
이는 정보 탈취보다 OT 시스템 접근을 통한 장기적인 파괴 공격을 염두에 둔 것으로 분석됩니다.
이란 APT의 전략은 국가 안보 목표와 연결되어 있다? 🇮🇷
Lemon Sandstorm는 과거부터 정보 수집, 서비스 중단, 심지어 랜섬웨어 조직에 접근 권한 판매까지 다양한 행위를
저질러 온 그룹으로, 이번 공격에서도 치밀한 작전 수행 능력을 입증했습니다.
내부 정보를 바탕으로 만든 스피어피싱 공격, 패치되지 않은 취약점 공략, 페르시아어 종교 용어를 활용한
맞춤형 악성코드 등은 이들의 국가적 또는 이념적 동기가 강하게 작용했음을 시사합니다.
AI 기반 보안 기업 다크트레이스의 CISO는 “이들의 전략은 단기 이득이 아니라 장기적인
기반시설 통제력 확보에 맞춰져 있으며, 이는 중국의 Volt Typhoon, 러시아 GRU 해킹 작전과
유사한 국가 중심 전략”이라고 설명합니다.
흔한 기술, 고급 전략으로 위협 💻
공격자들은 특수한 악성코드 외에도 Remote Desktop, 파일 공유를 통한 이동,
오픈소스 툴 악용 등 흔한 TTP(Tactics, Techniques, Procedures)를 적극 활용했습니다.
Fortinet은 “새로운 툴에만 집착할 게 아니라, 널리 쓰이는 일반적 공격 수단을 막는 것이 보안의 핵심”이라고 강조했습니다.
이번에 사용된 공격 기술들은 다음과 같은 일반적 수단들입니다:
- 🌐 웹셸 설치
- 🧰 공개된 해킹 툴 (AdFind, Mimikatz 등)
- 💾 파일 공유·RDP 통한 내부 이동
- 📂 VPN·이메일 탈취를 통한 초기 진입
이와 같은 평범한 TTP들이 수년간 들키지 않은 점에서, 이 그룹의 작전 수행 능력은 단순하지 않다는 평가를 받고 있습니다.
OT로의 침투는 실패… 핵심은 ‘망 분리’ 🔐
결정적인 차단 지점은 네트워크 망 분리였습니다.
공격자는 내부 IT 네트워크에서 OT 네트워크로 이동하려 시도했으나, 강력한 네트워크 세분화 정책으로 인해 차단되었습니다.
Fortinet은 “망 분리 전략이 침투 기간을 현저히 지연시켰으며,
OT 환경에 대한 접근을 차단하는 데 결정적인 역할을 했다”고 밝혔습니다.
망 분리는 IT와 OT가 혼재하는 중동 CNI 환경에서 필수적인 보안 조치로,
공격자들의 전진을 막을 수 있는 실질적인 방법이라는 점이 이번 사건을 통해 다시 한번 입증되었습니다.
조직이 취해야 할 보안 대응은? 🛡️
이번 Lemon Sandstorm 사건에서 얻을 수 있는 교훈은 단순합니다.
공격 도구가 아무리 복잡해져도, 방어는 다음의 기본적인 수칙을 지키는 것에서 시작됩니다.
- ✅ MFA(다중 인증) 도입: VPN, 이메일 계정 등 주요 서비스에 필수 적용
- ✅ 취약점 신속 패치: 알려진 취약점은 수일 내 패치할 수 있어야 함
- ✅ 네트워크 망 분리: OT 시스템은 독립적으로 운영되어야 함
- ✅ 침해사고 대응 훈련: 실제 상황을 가정한 연습을 주기적으로 실시
- ✅ 사용자의 의심 행위 감지 능력 강화: AI 기반 이상 탐지 도입 고려
마무리 ✍️
이란이 벌인 이번 사이버 작전은 OT를 노리는 침투 시도가 얼마나 장기적이고 은밀하게 이루어질 수 있는지를 보여줍니다.
다행히도 피해국은 망 분리 등 핵심 보안 전략을 잘 수행해 최악의 시나리오를 막아낼 수 있었지만,
이는 모든 CNI 조직에 주는 분명한 경고입니다.
사이버전 시대, 국가 간 경쟁은 물리적인 전장이 아니라 전력망과 데이터센터에서 펼쳐지고 있습니다.
모든 기업과 기관은 이 위협을 현실로 받아들이고, 언제든 준비되어 있어야 합니다.
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🛡️ 봇넷 기반 프록시 서비스 ‘Anyproxy’와 ‘5socks’ 전격 차단! 미국 법무부와 Lumen Technologies의 협력 작전 공개 (0) | 2025.05.13 |
|---|---|
| 🇮🇳 인도 vs 파키스탄 사이버 충돌…해커들도 전면전에 나섰다! 💥 (2) | 2025.05.10 |
| 🎯 일본을 노리는 초대형 피싱 캠페인, 'CoGUI'의 정체는? (2) | 2025.05.08 |
| 🕷️ Scattered Spider, 여전히 건재한 사이버 위협 그룹 (3) | 2025.05.07 |
| 📌 RSAC 2025에서 발표된 SANS 사이버 위협 5대 트렌드! 기업 보안팀이 꼭 알아야 할 현실적 위협들 (2) | 2025.05.07 |