오래 전부터 알려져 왔던 사이드와인더의 특성과 도구에 대한 새로운 정보가 발표됐다. 우리가 알고 있던 것보다 훨씬 더 광범위한 공격을 실시하고 있었고, 암호화폐에 대한 관심도 없지 않았던 사실이 드러났다.

[보안뉴스 문가용 기자] APT 단체인 사이드와인더(SideWinder)가 과거 발견됐던 악성 공격 캠페인 두 건의 배후 세력인 것 같다는 조사 결과가 발표됐다. 한 건은 2020년, 다른 한 건은 2021년에 발견된 사건이다. 그러면서 사이드와인더의 전략과 도구가 얼마나 다양해질 수 있는지가 다시 한 번 각인됐다. 이는 보안 업체 그룹IB(Group-IB)가 발표한 것이다.


사이드와인더는 래틀스네이크(Rattlesnake)나 T-APT4라고도 알려진 단체다. 2020년 몰디브 정부를, 2021년은 아프가니스탄, 부탄, 미얀마, 네팔, 스리랑카를 공격했다고 그룹IB는 최근 보고서를 통해 알렸다. 이 두 가지 공격 캠페인이 정말로 사이드와인더가 저지른 것이라면, “사이드와인더는 우리가 이전에 생각했던 것보다 훨씬 광범위하게 공격을 실시하고, 훨씬 더 많은 공격 도구를 활용할 줄 아는 단체”라고 그룹IB는 설명했다. 또한 베이비엘레펀트(Baby Elephant)와 두낫APT(Donot APT)라는 단체들과도 관련성이 있는 것으로 나타났다.

게다가 사이드와인더가 사이버 공격을 위해 제어하고 있는 IP 주소들이 생각보다 광범위한 지역에 걸쳐 존재한다는 사실도 새롭게 드러났다. 이번에 이들의 공격용 IP 주소들이 발견된 나라는 네덜란드, 독일, 프랑스, 몰도바, 러시아였다.

사이드와인더는 2012년부터 활동해 온 오래된 APT 단체다. 보안 업체 카스퍼스키(Kaspersky)가 2018년 처음 발견하면서 세상에 알려졌다. 당시에는 파키스탄의 군 시설과 인물들을 공격하고 있었다. 이 때문에 파키스탄과 앙숙인 인도의 APT 단체인 것으로 보는 시각도 존재했다. 하지만 이번에 그룹IB가 발표한 내용에 따르면 이들의 공격 표적이 파키스탄인 것만은 아닌 것으로 보인다.

“사이드와인더는 지난 10년 동안 동남아시아의 정부 기관들을 주로 공격해 오던 그룹이었습니다. 그런데 지금 보니 이들은 훨씬 더 많은 국가들을 공격하고 있었습니다.” 그룹IB의 위협 첩보 팀장인 드미트리 쿠핀(Dmitry Kupin)의 설명이다. “게다가 국방 시설만이 아니라 사법 기관, 중앙은행, 통신사, 의료 업체, 정치 기구 등 공격 계층도 다양했습니다.”

피싱 공격
사이드와인더는 주로 피해자를 속이기 위해 유명한 조직이나 단체를 사칭하여 피싱 공격을 실시한다. “스피어피싱 공격은 사이드와인더가 예전부터 즐겨 사용하던 최초 침투 전략입니다. 이번에 이들의 새로운 모습이 드러나면서, 이들의 피싱 공격용 인프라가 방대했다는 사실 역시 드러났습니다. 피싱 공격을 워낙 오래 실시해 온 단체이니 어느 정도는 예상했던 것이긴 합니다.”

하지만 이들의 피싱 행각을 조사했을 때 사이드와인더에 대해 여태까지 몰랐던 내용 하나가 드러나기도 했다. 바로 암호화폐에 대한 관심이 높다는 것이다. 그룹IB에 의하면 2021년 6월과 11월 사이에 사이드와인더는 피싱 작전을 펼쳤는데, 이 때에는 미얀마의 중앙은행을 사칭했었다. 미얀마 중앙은행의 그것과 똑같은 웹사이트도 만들기도 했다. 그 외에 뉴클리어스비전(Nucleus Vision)이라고 하는 인도 사물인터넷 비대면 지불 시스템도 이들의 사칭 대상이 됐다. 그런데 뉴클리어스비전은 엔캐시(NCASH)라는 코인을 다루는 업체이기도 하다. 공격자들은 엔캐시를 가장하여 암호화폐를 훔치려 했었다고 그룹IB는 밝혔다. (엔캐시는 암호화폐이긴 하지만 인도의 도소매 매장들에서 통용되기도 한다.)

도구들과 텔레그램
그렇다면 사이드와인더는 어떤 도구를 사용하고 있을까? 그룹IB는 공격자들의 도구라는 측면에서도 적잖은 발견을 이뤄냈다고 한다. “이전까지는 공개되지 않았던 도구들을 대거 발견할 수 있었습니다. 이들은 다양한 언어를 사용하여 도구를 개발하기도 했는데, C++, C#, 고(Go), VB스크립트 등을 다룰 줄 아는 것으로 보입니다. 가장 최근에 개발된 도구는 SideWinder.AntiBot.Script라고 하는 정보 탈취용 멀웨어이며, 파이선으로 작성됐습니다.”

SideWinder.AntiBot.Script는 피해자의 구글 크롬에서부터 브라우징 히스토리, 크리덴셜, 폴더 목록 등을 훔쳐내는 기능을 가지고 있다. 또한 .doc, .pdf, .txt 파일의 콘텐츠와 메타 정보까지도 추출할 수 있다. “사이드와인더는 정보 탈취와 정찰을 가장 큰 목적으로 삼고 있는 단체입니다. 수많은 공격에서 가장 중요하게 사용되는 도구일 거라고 예상합니다.”

그 다음으로는 원격 접근 도구 샘플들이 몇 개 발견되기도 했다. 텔레그램이라는 메신저 앱을 채널로 활용해 멀웨어를 제어하는 것들이었다. 해당 멀웨어들이 훔쳐낸 데이터들 역시 이 텔레그램 채널에 저장됐다. 그룹IB는 “최근 고급 APT 단체들 사이에서 텔레그램 등 메신저 앱 채널들을 C&C 서버로 활용하는 기술이 자리를 잡아가는 중”이라고 말한다.

사이드와인더, 어떻게 막아야 할까?
이번 그룹IB의 보고서에는 여러 가지 침해지표와 공격자들의 URL들이 기록되어 있다. 보안 담당자들이라면 이 정보들을 가지고 방어를 기획할 수 있을 것이다. “사이드와인더는 스피어피싱 공격을 전문으로 하는 단체입니다. 그러므로 사업용 이메일을 철저하게 보호한다면 사이드와인더를 어느 정도 방어할 수 있습니다. 메일을 열어야만 하는 임직원들을 대상으로 한 보안 교육도 실시해야 할 것이고요.”

또한 그룹IB는 “사이드와인더가 노리는 지역 내 기업과 기관들이라면 네트워크 모니터링을 보다 철저히 하고 사건 대응 계획을 수립한 후 평소부터 훈련을 해야 한다”고 권장한다. “결국 수상한 행동 패턴들을 파악하는 게 중요합니다. 개개인 레벨에서는 메일의 첨부파일과 링크를 조심할 줄 알아야 하고요.”

3줄 요약
1. 2018년부터 알려져 왔던 APT 단체, 사이드와인더.
2. 생각보다 많은 표적들을 공격하여 왔었고, 많은 도구를 사용하고 있었음.
3. 침해지표 공유됐으니 참고하여 방어하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>