7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>
러시아 정부 배후로 둔 사이버 공격 집단
전 세계를 무대로 활동 중인 사이버 범죄 그룹 중 러시아 정부가 배후에 있거나 러시아 정부와 이해를 같이하는 그룹들이 상당수 보고된다. 예를 들어 2016년 미국 대선 당시 민주당을 해킹한 것으로 의심받고 있는 소파시(Sofacy) 그룹은 APT28, 팬시베어라고도 불리며, 러시아 군사 정보기관과 연계된 것으로 추정된다.
소파시 그룹이 주도한 것으로 의심되는 대규모 사이버 공격 시도 ‘VPN 필터 멀웨어’가 감지돼 전 세계를 긴장하게 만든 바 있다. 6월 시스코가 공개한 보고서에 따르면 VPN 필터는 전 세계 50만대 네트워크 스토리지를 감염시켰으며, 감염 시스템에 스니퍼를 설치해 산업용 제어시스템 관련 정보를 수집할 수 있는 것으로 알려졌다. 익명의 디바이스 네트워크인 토르(TOR)와 유사한 자체 프라이빗 네트워크를 만들었으며, 이를 통해 데이터를 공유하고 동시다발적인 대량의 공격을 수행할 수 있다.
감염 대상 장비는 링크시스, 마이크로틱, 넷기어, 티피링크, 큐냅 등의 가정용·소규모 사무소용 네트워크 스토리지이며, 개별 디바이스에서 데이터를 유출하거나 디바이스 작동을 파괴하고 종료하는 공격이 가능하다. 감염된 디바이스는 인터넷에 연결돼 있고, 대부분 멀웨어 방지 기능을 갖고 있지 않아 공격 차단도 쉽지 않다.
파이어아이는 러시아 혹은 동유럽 국가가 배후에 있을 것으로 추정되는 또 다른 그룹 APT29도 추적하고 있다. 이들은 트위터, 깃허브 등 SNS·오픈소스·클라우드 서비스를 이용해 합법적인 통신으로 위장하고 공격한다. 암호화 트래픽을 이용해 보안 탐지를 우회하며, 자체 버그 수정 기능을 이용해 보안 탐지 시스템을 모니터링하고 새로운 백도어를 설치하면서 공격을 이어나간다. APT29는 미국, 서유럽 국가 정부기관을 정찰하는 것으로 분석된다.
러시아의 공격 피해를 많이 입는 나라 중 하나로 우크라이나가 지목된다. 러시아는 2015년 크리스마스에 우크라이나 전력시스템을 해킹해 22만5000가구에 정전사태를 일으켰으며, 2016년 키에프시 전력그리드를 방해하는 시험도 했다.
신흥 사이버 공격 강국, 이란
최근 새로운 ‘사이버 공격 강국’으로 떠오른 국가가 있다. 이란이다. 이란은 중동지역을 중심으로 공격을 이어왔지만, 금전적·정치적인 목적을 위해 유럽, 미주지역, 러시아, 우크라이나 등의 국가로도 영향력을 확대하고 있다. 파이어아이 맨디언트는 이란의 공격을 주목해야 한다고 강조하면서 이란으로 추정되는 몇 개 공격그룹을 소개한다.
그 중 하나인 APT35는 허구의 소셜 미디어 인물을 만들어 타깃에게 접근한다. 주로 미국과 중동의 군사·외교·정부 관료, 미디어, 에너지,및 방위 산업 기지(DIB) 조직, 엔지니어링, 비즈니스 서비스, 통신 부문을 공격 대상으로 삼는다.
이들은 가공의 인물로 소셜 미디어 계정을 만드는데, 실제 인물과 조직에 대한 상세 정보와 링크를 포함하여 확실한 배경을 가진 인물처럼 보이도록 한다. 이 인물이 주로 뉴스 조직과 관련돼 있어 뉴스캐스터(Newscaster)라고도 불린다. 네트워크와 온라인을 무대로 활동하는 이러한 조직을 구축하려면 상당한 노력이 필요하다는 점을 고려할 때 이 그룹은 리소스가 풍부한 것으로 보인다.
이외에도 파이어아이는 방위·항공우주·석유화학 산업 정보를 탈취하는 APT33과 이란의 전략적 이해와 연관된 정찰 작업을 수행하는 APT34의 활동도 보고했다. 이들은 정교하게 설계된 스피어피싱을 이용하며, 제로데이 취약점 공격으로 타깃에 침투한다.
이란이 활동하고 있는 중동지역은 복잡한 정치지형으로 인해 치명적인 사이버 공격이 자주 방생하고 있다. ‘샤문(Shamoon)’은 사우디아라비아에서 많은 피해를 입혔는데, 샤문은 팀버웜(Timberworm)이라는 그룹에 속해있거나 연관된 조직으로 알려지고 있으며, 중동을 중심으로 활동하고 있다.
샤문은 사우디아라비아 국경 석유 기업인 사우디아람코(Saudi Aramco)의 컴퓨터 3만여대를 파괴하면서 명성을 높였다. 시만텍은 샤문이 디스크 와이핑(Disk-Wiping) 멀웨어를 사용하는데, 중동의 항공·에너지·정부기관을 노리는 그린버그(Greenbug) 조직과 연관성이 있을 것으로 추정하고 있다.
