대규모 지원 없이는 불가능한 사이버 스파이 행위

동유럽 어딘가가 근원지인 것으로 밝혀져

[보안뉴스 문가용] 지난 27일 정부 단위의 대규모 단체가 뒤를 봐주는 듯한 사이버 공격에 대해 보고된 바가 있었다. 이 공격자들의 목표는 미국 및 서유럽의 에너지 산업, 전기산업, 석유산업 등이며 목표 업체나 산업에서 사용하는 산업용제어 시스템(ICS) 소프트웨어 제공업체를 우회하여 트로이목마를 심는 공격방식을 취한 것으로 밝혀졌다.

지난주 F시큐어(F-Secure)에서 발견한 이 공격은 유럽의 에너지 기업들을 대상으로 했으며, 공격방법이나 규모가 국가 단위의 보조 없이는 불가능한 것으로 드러났다. 이들은 드래곤플라이(DragonFly)라는 해킹 그룹으로 에너제틱 베어(Energetic Bear)라고도 알려져 있으며 국가의 보조를 받고 있다고 시만텍에서 최근 밝힌 바 있다. 이들에게 가장 빈번한 공격을 받은 곳은 스페인(27%)과 미국(24%)이며 뒤를 이어 프랑스(9%), 이탈리아, 독일, 터키, 폴란드, 루마니아, 그리스, 세르비아 등이 있다.

시만텍의 보안대응 책임자인 케빈 헤일리(Kevin Haley) 씨는 이 해킹 공격이 동유럽 등지에서 이루어졌으며 목표가 된 시스템에서 정보를 수집할 뿐 아니라 아예 기능을 마비시키거나 파괴시키는 기능을 가진 멀웨어를 사용하고 있다고 설명했다. “이런 마비 및 파괴 기능을 직접 목격하지는 못했습니다만 그런 위험이 잠재하고 있다는 건 명확한 사실입니다.”

시만텍에 의하면 이 해킹 그룹이 노리는 대상이 3월부터 점점 늘어나고 있다고 한다. 기존 에너지 산업을 타깃으로 하던 것이 파일 호스팅 업체와 아직 밝혀지지 않은 업체들로까지 확대된 것.

F시큐어의 보안고문인 숀 설리반(Sean Sullivan) 씨는 이 공격의 배후에 러시아가 있다고 확신하고 있다. 또한 이 공격의 목적이 단순 정보 탈취나 에너지 산업의 마비를 넘을 것이 분명하다고 주장한다. “타깃이 점점 늘어나고 있습니다. 이는 이런 사이버 스파이 행위가 특정산업 자체를 노리는 게 아니라는 걸 시사합니다. 오히려 여러 산업에 걸쳐 넓은 공격을 감행함으로써 정치적인 목적을 달성하려고 하는 건 아닐까 하는 의심이 듭니다. 이는 러시아의 전형적인 수법이죠.” 그러다보니 생산 산업 분야도 안전하지 못하다는 게 그의 의견이다. “특히 군사 및 무기 산업이 목표가 될 가능성이 높습니다.”

아직 F시큐어나 시만텍 어느 쪽에서도 정확한 이름을 밝히진 않았지만 소프트웨어 제공업체 중에서도 최소 세 군데가 공격을 받은 것으로 드러났다. 공격 받은 업체들의 경우 소프트웨어 업데이트 링크에 하벡스(Havex) 혹은 올드리아(Oldrea)라고 하는 백도어 트로이 목마가 침투했고, 이 트로이목마는 같은 네트워크 안에 있는 시스템의 정보를 전부 수집했다. ICS-CERT 보고서에 의하면 하벡스 멀웨어는 간헐적인 DoS 공격을 감행한다고 알려졌다.

이들 피해 업체들은 ICS 소프트웨어를 업데이트하는 과정 중에 멀웨어를 다운로드했으며, 동시에 공격자에게 시스템을 완전히 망가뜨릴 수 있는 권한을 쥐어준 것이나 다름없다. 하벡스 혹은 올드리아라고 하는 이 멀웨어는 침투한 시스템을 비롯해 같은 네트워크에 있는 다른 시스템의 정보를 수집하고 그 시스템에 있는 파일과 프로그램의 목록을 생성한다. 심지어 아웃룩의 주소록과 VPN 설정 정보까지도 수집하는 것으로 알려져 있다.

공격자들이 사용하는 C&C 서버 대부분은 하이재킹 당한 콘텐츠 관리 시스템에서 돌아가며 공격자들은 카라가니(Karagany) 트로이목마를 뿌려대기도 했다. “카라가니는 훔친 정보를 업로드시키는 기능을 가지고 있습니다. 또한 새로운 파일을 다운로드하고 그 중 실행파일을 실행시키기도 합니다. 암호를 모으고, 스크린샷을 찍고, 문서를 재배열하는 등 기본 옵션 외 기능을 가진 플러그인을 따로 추가하는 것도 가능합니다.” 시만텍의 설명이다.

드래곤플라이는 최소 2011년부터 활동을 시작한 것으로 알려져 있다. 원래는 미국과 캐나다의 방위산업 및 항공산업을 타깃으로 활동했고 기존의 피싱 방법을 주로 활용했다고 시만텍은 밝혔다. 현재 이들은 공격대상을 직접 공격하지 않고 그 대상이 자주 방문할만한 사이트를 먼저 공략하는 등의 우회적인 공격방법인 워터링 홀 기법도 사용하고 있다. 소프트웨어 업체들을 공격한 건 이런 우회 공격의 하나로 보인다.

“공격자들은 로그인 정보, 암호 정보를 모으고 있습니다. 아웃룩에 있는 정보를 훔치는 것도 목격했고요” 헤일리 씨의 설명이다. F시큐어의 설리반 씨는 토르 서버의 익명화 노드에서 공격자의 것으로 보이는 C&C 서버와의 연결고리를 몇 개 발견하기도 했다. “드래곤플라이든 누구든 지금은 엄청난 양의 정보를 모으고 있는 것으로 보입니다. 이 정보를 바탕으로 향후 소프트 파워(군사력이나 경제제재 등 물리적으로 표현되는 힘과 정반대로 정보과학이나 문화예술 등이 행사하는 영향력을 말한다)의 흐름을 점칠 것으로 예상됩니다.”

설리반 씨는 “성급히 결론을 내려서는 안 될 것”이라고 경고했다. “알려진 바로는 에너지 산업만 노리는 것 같지만 사실은 그렇지 않습니다. 굉장히 광범위한 공격이며 이는 산업 전반을 약화시키려는 의도로 보는 것이 지금으로선 더 타당합니다. 특히 군사 및 방위산업 측에서는 더욱 신경을 곤두세워야 할 것입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>