이란의 해커들 수준이 꽤나 고급스러워졌다. 그러면서 고도의 표적 공격을 하는 것도 가능하게 됐다. APT42가 바로 그런 해킹 그룹으로, 이란 정부가 좋아할 만한 표적들을 골라 모니터링 하는 것을 주요 임무로 삼고 있다.

[보안뉴스 문가용 기자] 이란의 혁명수비대와 관련이 있어 보이는 고급 APT 단체가 고차원적인 공격을 실시하고 있는 것이 발각됐다. 문제의 단체는 APT42이고, 2015년부터 활동을 해 온 것으로 알려져 있다. APT42는 이란의 유명 해킹 단체인 차밍키튼(Charming Kitten)의 하위 그룹으로 보이며, 고도화 된 표적 공격을 주특기로 삼고 있다. 이에 대해 보안 업체 맨디언트(Mandiant)가 연구해 발표했다.


APT42가 가장 주력하는 것은 피해자와 신뢰 관계를 형성해 유지하는 것이다. 그리고 이 신뢰 관계를 통해 개인정보와 로그인 크리덴셜을 훔친다. 이런 정보들을 악용하면 피해자가 소속된 회사나 조직의 네트워크 깊숙한 곳에까지 침투할 수도 있고, 가족들을 통해 다른 조직에도 파고들어갈 수 있게 된다. 그런 후 추가 악성 행위를 실시하는 것도 가능하다.

APT42는 피해자를 지속적으로 모니터링 하기도 한다. 모바일 장비들에 안드로이드 스파이웨어를 심음으로써 이것이 가능하게 된다. 맨디언트는 APT42가 피해자 모니터링을 통해 “국가 체제에 위협이 될 만한 인물을 가려내고, 가능하면 체포에까지 성공할 수 있다”고 설명한다. “게다가 이들은 다양한 종류의 사이버 악성 행위를 실시할 수 있습니다. 어떤 것 하나에 집중하거나 전문화 되지 않았다는 뜻입니다. 약 30개 공격 캠페인을 실시한 것으로 보이는데, 실제보다 많이 낮은 추정치라고 생각하고 있습니다.”

APT42의 주요한 능력은 정보 탈취와 모니터링, 그리고 고도의 표적 공격(대부분 감시)이다. 따라서 정치적인 의도를 가진 공격에 특화되어 있는데, 그렇다고 민간 기업이 안전한 건 아니다. “APT42는 개인 메일과 업무용 메일 모두를 노리려는 성향을 보입니다. 개인과 조직을 가리지 않는다는 겁니다. 그렇기에 정치적 목적을 가진 공격자라고 하더라도 기업 내부 정보를 접할 수밖에 없고, 그 과정에서 부수적인 피해가 발생하게 됩니다. 게다가 정부 기관들과 밀접하게 일하는 기업들은 이미 과거에도 여러 차례 표적이 된 바 있습니다.”

위협 행위의 3단계
APT42는 크게 세 가지 단계로 공격을 실시한다. 최초 침입을 위해서는 크리덴셜 수집(credential harvesting)을 주력으로 진행하는데, 이를 위해서 스피어피싱 캠페인을 먼저 실행함으로써 표적과 신뢰 관계를 만든다. 주로 기자나 피해자가 관심이 있을 법한 전문직 종사자를 사칭해 접근한다. 이렇게 해서 다중 인증까지 뚫어내고 보호 장치들을 우회한다. 그리고 네트워크, 장비, 각종 계정들에도 접근하고 데이터를 훔쳐낸다. 여기까지가 1단계다.

그런 다음 APT42는 안드로이드 모바일 멀웨어를 통해 피해자를 감시하기 시작한다. 피해자가 어느 지역으로 움직이는지, 누구와 어떤 대화를 이뤄가는지, 어떤 사이트에 자주 방문하는지 등을 관찰하는 것이다. 이를 통해 이란 정부가 관심을 둘 만한 사람들의 뒤를 캐고, 필요할 경우 물리적 행동을 취하는 데 도움이 되는 정보를 정부에 넘기기도 한다. 이것이 2단계다.

마지막으로 APT42는 자신들이 가지고 있는 다양한 멀웨어를 목적에 맞게 활용한다. 맞춤형 백도어나 그 외 여러 가지 공격 도구들을 사용해가며 그 때 그 때 필요한 작업을 수행한다. 이것이 3단계다.

다른 공격 단체와의 연관성
APT42는 2015년 처음 발각된 그룹으로, 그 이후 보안 업계의 꾸준한 관심을 받아 왔다. 기업마다 여러 가지 이름으로 이들을 추적해 왔는데 프루프포인트(Proofpoint)의 경우 TA453이라고 하며, PwC는 옐로가루다(Yellow Garuda), IBM은 ITG18이라고 부른다. APT35 혹은 차밍키튼이라고 불리는 유명 이란 해킹 그룹의 하위 유닛으로 보이는데, 차밍키튼과는 또 다른 공격 전략과 목표를 보여준다. 차밍키튼은 보다 장기적인 멀웨어 기반 공격 캠페인을 위주로 하고, 미국과 중동의 기업들을 주로 공격한다. 반대로 APT42는 특정 조직과 개인을 고도화 된 표적 공격으로 감시하며, 정치적인 의도를 가진 공격이 주특기이다.

작년 APT42는 스푸프드스콜라즈 작전(Operation SpoofedScholars)이라는 이름의 피싱 캠페인을 진행한 바 있다. 이름 그대로 공격자들은 대학 교수를 사칭한 소셜 엔지니어링 공격을 진행했는데, 특히 런던대학 동양아프리카 학부의 연구원인 척 행세하며 피해자들과 친분을 쌓았다. 그러더니 올해 2월에는 영국의 굵직한 매체들을 사칭하여 벨기에와 UAE의 교수들을 공격하기도 했다. 피해자들은 이중국적자들로 이란 국적과 다른 나라 국적을 보유하고 있었다고 한다. 당시 지메일 크리덴셜을 공격자에게 빼앗겼었다. 코로나가 창궐할 때는 제약회사를 공격하기도 했었다.

맨디언트는 이러한 APT42의 지난 발자취를 통해 “이란 정부가 상당히 신뢰하는 단체”라고 결론을 내린다. “지정학적인 사안들과 변화를 재빨리 파악하고, 그것을 공격에 활용할 줄 아는 자들로 구성되어 있음이 분명합니다. 대단히 유연하고, 이란 정부가 내부 통치에 있어서나 외교 무대에서 유리한 고지를 점할 수 있는 정보를 빠르게 훔쳐낼 줄 압니다.”

나는 이란과 상관이 없는데?
이런 APT42의 특성을 파악하고 나면 자연스럽게 ‘나는 이란과 아무런 관련이 없는데?’라는 질문이 떠오른다. 즉 APT42가 아무리 활개를 쳐도 결국 우리 회사나 나라는 개인이 이란 정부의 관심 밖에 있다면 아무런 위협이 되지 않겠느냐는 의문이다. 타당한 질문이다. 그리고 아마 높은 확률로 대부분의 사람들은 APT42의 공격 대상이 되지 않을 것이다.

하지만 이란은 미국의 적이고, 미국과 친한 나라의 국민이나 기업이라면 언젠가 APT42의 관심을 받아도 이상하지 않다는 걸 기억해야 한다. 게다가 최근에는 새로운 냉전 시대가 시작되었다는 말이 나올 정도로 세계가 친미와 반미로 갈려 있고, 그 갈등의 골은 점점 깊어지는 중이다. 이란과 직접 관련이 없더라도, 이란과 반대 진영에 있는 국가의 국민이라면 APT42를 마냥 남의 이야기로만 받아들일 수는 없다.

맨디언트는 피싱 및 소셜 엔지니어링 공격에 대한 교육은 끊임없이 이뤄져야 한다고 권고한다. “이런 대규모 피싱 및 소셜 엔지니어링 활동이 있을 때만이 아니라 평소에도 피싱 예방 교육과 훈련은 늘 해야 합니다. 그래야 방어의 사고방식을 몸으로 기억할 수 있거든요. 그렇지 않으면 어느 한 순간의 실수나 컨디션 난조로도 공격을 허락할 수 있습니다.”

3줄 요약
1. 이란의 APT 단체인 APT42, 고도의 표적 공격 할 줄 아는 고급 단체.
2. 차밍키튼의 하위 단체로 보이나, 차밍키튼보다 훨씬 정치적 공격에 능함.
3. 이란과 직접 관련이 없더라도, 지정학적 관계와 이유 때문에 APT42의 공격 대상이 될 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>