[보안뉴스 정규문] 보안 및 위협 관리 솔루션 업계를 선도하는 카스퍼스키랩(www.kaspersky.com)은 대한민국의 방위 산업체를 노린 신종 사이버 스파이 활동인 ‘Icefog’의 정체를 밝혔다고 발표했다.

‘Icefog’는 대한민국과 일본을 대상으로 공격의 초점을 맞춘 소규모 전문 APT 공격 조직으로 2011년부터 시작된 이 공격은 지난 수 년간 그 규모와 범위가 확대되었다.

글로벌 연구&분석 책임자인 코스틴 라우는 “지난 몇 년 동안 카스퍼스키랩은 거의 모든 분야를 대상으로 한 APT 공격을 확인했다. 대부분의 경우 공격자는 수 년간 기업과 정부 기관 네트워크에 발판을 두며 테라바이트 수준의 대규모 기밀 정보를 은밀히 유출했다.

이를 가능케 한 것은 ‘Icefog’의 치밀한 ‘치고 빠지기’ 공격 방식 때문으로 공격은 보통 며칠 또는 몇 주 동안 지속되었고 원하는 정보를 얻은 후에는 공격 흔적을 정리했다. 앞으로 이러한 ‘치고 빠지기’ 공격 방식은 ‘사이버 용병’의 한 종류로 이를 전문으로 하는 소규모 ‘APT-to-hire’(용병에 의한 APT 수행) 조직이 늘어날 것으로 예상된다”라고 말했다.

주요 조사 결과

△확인된 공격 대상의 프로필을 근거로 공격자는 다음과 같은 분야에 관심을 가지고 있는 것 같다 - 군사, 조선/해양, 컴퓨터/소프트웨어 개발, 연구 기업, 통신 사업자, 위성 통신, 대중 매체/텔레비전.

△유출된 주요 데이터는 피해자의 내/외부 네트워크에 접근할 수 있는 암호, 이메일 계정 자격 증명, 회사의 각종 기밀 문서 등이다.

△스파이 활동 시 공격자는 ‘Icefog’ 백도어 세트(‘Fucobha’라고도 함)를 사용했으며, 마이크로소프트 윈도우와 맥 OS X 모두에서 Icefog 버전이 존재했다.

△피해자는 몇 개월 또는 몇 년 동안 감염되어 있었으며 이 기간 동안 Icefog 운영자는 해당 피해자에게서 특정 정보만을 찾아 유출했다. 이후 원하는 정보를 얻은 후 유출 흔적을 지웠다.

△대부분의 경우 Icefog 운영자는 대상 피해자로부터 빼낼 정보가 무엇인지 잘 알고 있었다. 특정 파일 이름으로 검색해 빠르게 문서를 확인하고 이를 공격자의 C&C 서버로 전송했다.

공격 및 피해자

공격자가 사용한 70개 이상의 도메인 중 13개를 카스퍼스키랩의 싱크홀(함정) 서버로 유도해 공격을 분석했으며 이를 통해 피해자의 규모에 대한 통계를 확인했다. 또한, Icefog 명령 및 제어(C&C) 서버에는 공격자가 피해자에게서 수행한 다양한 작업 내역이 담긴 로그를 암호화해 보관하고 있었으며 이들 로그를 분석해 피해자를 식별할 수 있었다.

대한민국, 일본뿐만 아니라 중국, 미국 등 여러 국가들에게서 4,000개 이상의 고유한 감염 IP와 수백 명의 피해자(수십 명의 윈도우 사용자와 350명 이상의 맥 OS X 사용자)를 파악했다.

카스퍼스키랩은 공격 인프라를 제어하고 감시하기 위해 사용된 IP 목록을 바탕으로 이번 공격의 배후 중 일부는 적어도 중국, 대한민국, 일본에 그 근거지를 두고 있을 것으로 추정했다.

[정규문 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>