솔라윈즈 사태의 악몽을 떠올리게 하는 멀웨어가 이번에는 동유럽에서 발견됐다. 공격자들은 솔라윈즈 사태 때 자신들의 무기가 발각되자 새 것을 만들어 자신들의 할 일을 계속 했던 것으로 추정된다.

[보안뉴스 문가용 기자] APT 공격자들의 가장 큰 특징 중 하나는 포기하지 않는다는 것이다. 동기가 확실하기 때문이며, 그렇기 때문에 몇 번을 발각되고 꼬리가 잡혀도 포기하지 않는다. 올해 초 이른바 ‘솔라윈즈(SolarWinds) 사태’를 일으켜 큰 화제가 됐던 러시아의 APT 단체 다크헤일로(DarkHalo) 혹은 노벨륨(Nobelium)도 이러한 특징을 고스란히 보여주고 있다.


보안 업체 카스퍼스키(Kaspersky)는 새로운 백도어인 토미리스(Tomiris)를 발견했다고 발표하며 “선셔틀(Sunshuttle)이라는 멀웨어와 관련이 깊은 것으로 보인다”고 설명했다. 선셔틀은 솔라윈즈 사태 때 발견된 다운로더형 멀웨어다. 토미리스도 같은 유형의 멀웨어로 분석되고 있다. 뿐만 아니라 둘은 같은 언어로 개발되었으며, 같은 난독화 및 공격 지속 원리를 가지고 있는 등 닮은 구석이 상당히 많다.

카스퍼스키가 토미리스 백도어를 발견한 건 지난 6월의 일이다. 구 소련 소속 국가의 정부 기관들에 들어온 DNS 하이재킹 공격을 조사하면서였다. 이 공격은 2020년 12월과 2021년 1월에 걸쳐 발생했으며, 정부 기관의 이메일 서버들로 오가는 트래픽을 가로챔으로써 공격자들은 크리덴셜을 훔쳐가는 데 성공했다는 사실을 카스퍼스키는 조사를 통해 알아냈다고 한다.

상술했다시피 구 소련 국가에서 발견됐던 토미리스는, 비슷한 시기 미국에서 발견됐던 선셔틀과 상당히 흡사하다. 하지만 멀웨어 두 개가 비슷하다는 것만 가지고 ‘배후 세력이 같다’고 결론을 내릴 수는 없다. 즉 솔라윈즈 사태의 배후에 있는 다크헤일로 혹은 노벨륨이 토미리스의 배후에 있다고 확정할 수는 없다는 뜻이다. 하지만 그 방향으로 강력하게 의심이 되긴 한다는 게 카스퍼스키의 결론이다.

“두 멀웨어가 닮은 점이 많아도 너무 많습니다. 그래서 저희는 다크헤일로가 자신들의 공격 행위를 들키자마자 비슷한 다른 멀웨어를 사용해 자신들이 원하는 바를 계속해서 이어간 것으로 보고 있습니다.” 수석 보안 전문가인 이반 퀴아트코브스키(Ivan Kwiatkowski)의 설명이다. 물론 결론은 아니다. “그러나 APT 단체들이 공격을 쉽게 포기하지 않는다는 점을 생각했을 때 일리 있는 추정입니다.”

다크헤일로는 이미 수많은 보안 기업들이 “러시아 정부와 관련이 있는 조직”이라고 정의를 내린 APT 단체다. 러시아의 첩보 기관인 SVR의 하위 단체라는 게 기정사실로 받아들여지고 있다. 또한 솔라윈즈라는 소프트웨어 개발 업체의 오리온(Orion) 플랫폼의 공급망을 침해하여 전 세계 1만 8천여 개 기업과 기관들을 침해한 것으로 악명이 높다. 이것이 바로 솔라윈즈 사태다. 참고로 솔라윈즈 사태가 발견된 건 작년 말이었지만 실제 공격이 발생한 건 최소 2019년이라고 알려져 있다.

선셔틀은 솔라윈즈 사태 당시 발견된 여러 멀웨어 중 하나로, 공격의 다음 단계에서 사용되는 멀웨어를 다운로드 받아 설치하는 기능을 가지고 있다. 선셔틀과 토미리스는 둘 다 고 언어로 작성되었고, 공격자들은 이 둘을 통해 피해자 시스템에서 명령을 실행하거나 파일을 업로드/다운로드 했다. “그 외에도 두 멀웨어는 같은 난독화 기술을 사용하고, 같은 방식으로 설정되어 있습니다. 주기적으로 슬립모드에 들어가는 식으로 탐지를 최대한으로 회피하는 것도 비슷합니다. 여러 기능의 측면에서도 유사한 면모가 많았습니다.” 퀴아트코브스키의 설명이다.

심지어 같은 단어에서 철자 오류를 낸 것까지 토미리스와 선셔틀의 분석 과정에서 발견됐다. “영어를 모국어로 하고 있지 않은 동일 개발자가 개발 과정에 연루되어 있다는 것을 명백하게 드러내는 흔적이라고 해석하고 있습니다.” 그 외에도 러시아의 또 다른 APT 그룹인 털라(Turla)가 사용하는 것으로 알려진 멀웨어 카주아(Kazuar)도 토미리스를 추적하는 중에 발견됐다. 러시아의 APT 그룹들 간의 협력 체계가 의심되는 부분이다.

카스퍼스키의 퀴아트코브스키는 솔라윈즈를 일으켰던 다크헤일로 혹은 노벨륨이 비슷한 멀웨어를 개발해 활동을 하고 있었을 가능성이 높다는 이번 조사 결과를 두고 “APT 공격자들이 벌이는 행각이 발견됐다는 내용으로 대서특필되었다고 해서 사건이 끝나는 건 아니라는 걸 다시 한 번 절실히 느끼게 됐다”고 말한다. 발견된 건 말 그대로 발견되었다는 뜻일 뿐, 위협이 사라졌다는 뜻은 절대 아니라는 것이다.

“공격을 하고자 마음을 먹은 사람들은 어떤 상황에서도 공격을 이어갑니다. 들키건 안 들키건 상관이 없습니다. 그러니 네트워크의 경계선만 잔뜩 지켜보는 식의 보안은 더 이상 소용이 없습니다. 진짜 보호해야 할 내용물들에 대한 직접적인 보안이 이뤄져야 합니다.”

3줄 요약
1. 솔라윈즈 사태 일으켰던 공격자들, 구 소련 국가들 상대로도 공격했음.
2. 솔라윈즈 때 사용했던 것과 쌍둥이 같은 멀웨어가 사용됨.
3. APT 공격자들은 들켜도 새 도구를 만들어 계속해서 공격한다는 걸 늘 상기해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>