광산업 분야, 사이버 스파이 캠페인의 공격 대상이 되다

게시일: 2016-06-29 l 작성자: Numaan Huq (Senior Threat Researcher)

광산업을 표적으로 한 사이버 스파이 캠페인의 대부분은, 이익집단이 최신 기술 및 기밀 정보에 접근하여 글로벌 광물 시장에서 경쟁 우위를 유지할 수 있도록 설계되어 있다. 본 블로그 포스트는 포타쉬 코퍼레이션(Potash Corporation)의 공격 사건에 위 패턴이 어떻게 적용되었는지 기술한다. 이를 통해 주요 광업 회사를 타겟으로 하는 공격자들의 동기와 목표를 알 수 있다.

칼리(탄산칼륨, Potash)는 칼륨이 포함된 자연 또는 인공 미네랄이다. 비료의 주 원료로 사용되며, 캐나다 농식업 분야의 주요 자원이다. 당사의 분석에 따르면, 이번 공격의 주요 목적은 BHP 빌리턴(BHP Billiton)사의 세계 최대 규모 칼리 제조사 400억 달러 인수를 무산시키기 위한 것이었다. 2010년 9월에 시작된 공격은 2011년 후반 대중에 공개되었다. 공격에 대한 분석은 현재 IP 주소 추적까지 완료되었다.

공격 – 단계별 접근 방식

공격자들은 먼저 캐나다 7개 로펌의 컴퓨터 네트워크를 타겟으로 하였다. 그 중 캐나다 로펌 상위 7개의 그룹사인 “Seven Sister”도 포함되어 있었다. 해당 로펌은 BHP 빌리턴의 포타쉬 코퍼레이션 인수 입찰과 연관된 여러 관계자들을 대변하는 로펌이었다. 이와 같은 공격 전략은 해당 로펌이 보유한 주요 기밀 정보를 탈취하기 위함이었다. 입찰에 영향을 줄 수 있는 중요 정보도 포함된다. 해커들이 포타쉬 코퍼레이션을 직접적으로 타겟하였다는 보고는 아직 확인되지 않았다. 그러나, 이번 공격의 증거를 종합하여 볼 때, 공격의 주 목적은 민감 정보의 습득이었다는 것을 알 수 있다.

해커들은 스파이웨어를 사용하여 기밀 문서를 탈취하여 스푸프 이메일로 전송하였다. 또한 캐나다 재무부와 국가재정위원회를 공격하기 위한 수단으로 피싱 이메일을 사용했다. 호주 원주민이 BHP 빌리턴사의 포타쉬 코퍼레이션 인수를 반대하는 내용을 담은 이메일은, 열람 시 악성 웹사이트로 연결되어 드라이브 바이 다운로드(drive-by-download)를 통해 브라우저 취약점을 공격하는 스파이웨어를 설치하였다.

광업 회사가 타겟이 된 이유와 공격자의 목적

광산업 분야를 타겟으로 하는 모든 사이버 스파이 행위는 특정 그룹에게 최신 기밀 및 기술 정보를 제공하여 시장에서 비교 우위를 점령할 수 있게 해주기 위함이다. 포타쉬 코퍼레이션 공격 사례의 경우, 인수 입찰에 관련된 내부 정보가 탈취되었을 경우, 해당 정보를 보유한 누구나 입찰에서 불공평하게 이득을 볼 수 있으며, 실제 입찰 실패까지 이어질 수 있다.

이 특정 사례에서 해커는 내부 정보를 수집하려는 자신의 목적을 알아차리지 못하도록 여러 미끼 요인들을 설계하였다. BHP빌리턴사의 포타쉬 코퍼레이션 인수는 이와 무관하게 결국 이루어지지 않았지만, 해커의 최종 목표는 인수 입찰의 내부 정보를 습득하여 실제 입찰을 실패하게 만드는 것이었다. 만일 BHP 빌리턴의 경쟁 상대로 입찰에 참여하여 주주들에게 더 많은 금액을 제안하거나, 다른 조건을 제시하여 입찰에서 승리할 수 있는 것이다.

트렌드마이크로의 광업 분야 사이버 위협 보고서(Cyber Threats to the Mining Industry, 영문)에서는 광업 분야에서 시행 및 적용할 수 있는 보안 지침을 포함하였다. 또한, 광업 분야가 공격의 대상이 되는 다양한 이유와 동기를 설명한다. 본 보고서는 특정 공격 캠페인을 살펴보는 것이 아닌, 광업 분야 전반에 걸친 일반적이고 통합적인 통찰을 제시한다.

원문: Mining Companies Under Attack