팔로알토 네트웍스(지사장 최원식, Palo Alto Networks, https://www.paloaltonetworks.com)는 1일 자사의 보안 정보 팀인 '유닛 42(Unit 42)'가 동남 아시아 지역 정부 기관 및 군사 조직을 타깃으로 하는 사이버 공격인 '로터스 블로썸 (Lotus Blossom)'을 확인했다고 밝혔다.

'로터스 블로썸' 공격은 최소 지난 3년 전부터 홍콩과 대만, 베트남, 필리핀, 인도네시아를 타깃으로 이루어져 온 것으로 추정되고 있으며, 현재까지 확인된 공격 건수는 50건을 상회한다. 모든 공격에 자체 개발한 트로이 목마(Trojan) '엘리스(Elise)'를 사용했으며, 스피어-피싱(spear-phishing) 이메일을 통해 타깃 시스템에 대한 거점을 확보하는 방식으로 공격을 실시하고 있는 것으로 분석됐다. 팔로알토 네트웍스는 '엘리스'가 타깃 공격을 실행하는데 필요한 요건을 갖추었을 뿐만 아니라 타깃 공격과 관계가 없는 다른 공격에도 사용될 수 있도록 설계되어 있는 것으로 추정하고 있다.

자체 제작한 툴과 광범위한 리소스들을 사용하여 수 년간 지속되고 있는 이 공격은 조직적인 자금력을 배후에 두고 있을 가능성이 제기되고 있으며, 공격의 특징들을 봤을 때, 동남아시아 정부 및 군사조직과 외교적 이슈가 있는 국가의 지원을 받는 사이버 스파이의 소행으로 분석된다.

라이언 올슨(Ryan Olson) 팔로알토 네트웍스 '유닛 42(Unit 42)'팀 인텔리전스 디렉터는 “로터스 블로썸에서 사용하고 있는 트로이 목마의 백도어 및 취약성은 최첨단의 기법을 사용한 것으로 보이지 않는다. 하지만 이처럼 최신의 공격이 아닐지라도 실제 공격이 이뤄졌거나 민감한 데이터에 접근하게 됐을때 이에 따른 영향은 치명적일 수 있다. 이에 보안 환경을 지속적으로 검토하고 사이버 공격에 대한 선제 방어 대책을 세우지 않으면 언제든 공격에 노출될 수 있음을 인지해야 한다”라고 말했다.

팔로알토 네트웍스는 사이버 위협 선제 방어를 위한 보안 인텔리전스 서비스인 자사의 오토포커스(AutoFocus)를 활용하여 이번 공격을 탐지했다. 오토포커스는 팔로알토 네트웍스의 APT방어 및 대응 솔루션인 와일드파이어(WildFire)를 사용하는 6,000여 고객사와 다른 분석 자료들로부터 수집된 다양한 보안 사고들의 상관 관계를 분석하고, 그 자료를 고객사에 제공함으로써 위협에 선제적으로 대응할 수 있게 하는 서비스이다. 팔로알토 네트웍스 위협 대응 솔루션 (Palo Alto Networks Threat Prevention) 및 와일드파이어 고객들은 자동으로 선제 대응 및 보호 체계를 갖춰 공격을 차단할 수 있으며, 상세 리포트를 통해 네트워크 침입 흔적 식별 및 보안 제어에 필요한 관련 지표를 확인할 수 있다.