인도의 해킹 행위에 대한 보복으로 보여

미국 사설 서버와 계약해 C&C 서버로 활용

[보안뉴스 문가용] 파키스탄도 사이버전에 참전하고 있는 듯한 움직임을 보이고 있는 것으로 드러났다. 최근 발견된 ‘거미공포증 작전(Operation Arachnophobia)’은 2013년 초부터 진행되어 온 장기 해킹 활동으로 기존에 알려진 위협 및 사이버 스파이 행위의 모든 것을 그대로 닮고 있다. 딱 한 가지, 파키스탄의 한 보안 회사가 그 중심에 있다는 것만 빼놓고.

파이어아이(FireEye)와 쓰렛커넥스(ThreatConnect)는 최근 팀을 이뤄 비터버그(Bitterbug)라는 백도어 멀웨어를 수사하던 중 인도와 관련된 여러 건의 미끼 문건을 발견했다. 비터버그 멀웨어는 사이버 스파이 행위에서 주요 사용되며 미국의 가상 사설 서버에서부터 온 것으로 위장되어 있었다. 그런데 그 사설 서버가 파키스탄의 호스팅 업체와 계약을 한 것이 드러났다. “결국 그 서버스는 해당 멀웨어의 C&C 서버 역할을 한 것이죠. 미국발 멀웨어인 것처럼 보이기 위해서입니다.” 쓰렛커넥트의 CIO인 리치 바거(Rich Barger) 씨의 설명이다.

파키스탄은 최근 인도의 해킹 행위가 늘어감에 따라 그에 대한 대응 혹은 보복 차원에서 이번 작전을 실행한 것으로 보인다. “작전의 주요 목표는 데스크탑에 저장되어 있는 일반 사무 문서를 모으는 것이었습니다. 예전에 인도가 저질렀었던 ‘행오버 작전’과 매우 흡사합니다.”

최근 아시아 지역에 사이버 공격 행위가 늘어나고 있다. 인도와 파키스탄의 이런 행위 뿐 아니라 이란 역시 사프론 로즈 작전이란 이름으로 미국 방어 시스템과 이란의 반체제 인사들에 대한 사이버 스파이 행위를 감행했다. “러시아와 중국은 워낙에 유명하지만 인도와 파키스탄까지 여기에 끼어들다니요. 분위기가 더 살벌해질 것입니다.”

거미공포증 작전(Operation Arachnophobia)이라는 이름은 파키스탄의 보안업체인 트란큘라스(Tranchulas)에서 딴 것으로 보인다. 트란큘라스라는 이름은 파이어아이가 분석한 멀웨어에도 발견되었다. “트란큘라스는 침입 실험을 위주로 하는 보안 회사인 것으로 드러났습니다. 국가 단위의 보안 프로그램을 주로 담당하고 있으며 공격과 방어 능력 모두를 개발해주는 회사인 것으로 알고 있습니다.”

아직 정확한 피해 대상이나 규모는 드러난 바가 없다. 또한 조사기관인 파이어아이와 쓰렛커넥트에서 백서를 발간함으로써 사실상 이 작전은 현재 멈춤 상태에 놓여 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>