• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

바람 잘 날 없는 미국, 이번엔 폰 스톰 작전에 당해 2014.10.24

정확한 공격 주체는 밝혀지지 않았지만 러시아 유력

점점 더 세밀해지고 정교해지는 공격, “진화에 주목해야”


[보안뉴스 문가용] 미국을 향한 또 다른 해킹 사건이 발생했다. 이번엔 중국이 아니다. 트렌드 마이크로(Trend Micro)는 어제 보고서를 통해 폰 스톰 작전(Operation Pawn Storm)이라는 사이버 스파잉 캠페인에 대해 발표했다. 이 작전은 2007년부터 있어왔던 것으로 최근까지도 발전에 발전을 거듭해왔으며, 이제는 심지어 감지된 이후에도 시스템에 남아있는 법을 공격자들이 터득했다고 한다. 그러나 공격의 주체가 된 국가의 이름은 구체적으로 밝혀지지 않은 상태다. 하지만 지정학적 시기나 관련 조직들을 살펴봤을 때 러시아가 유력해 보인다.

 

 ▲ 얘야, 등잔 밑 만큼 밝히기 어려운 곳이 없단다.


공격의 대상이 된 조직들로는 ACADEMI라는 미국 국방 관련 업체와 SAIC, 유럽안보협력기구가 있다. 트렌드 마이크로의 최고 사이버보안 책임자인 톰 켈러먼(Tom Kellermann)은 “아직 공격자가 누구인지 정확히 판단하기가 어렵다”며 구체적인 언급은 피했지만 “현재 러시아와 미국 간 벌어지고 있는 사이버 냉전 상태를 감안하면 러시아에 호의적인 단체라는 추정 정도는 가능하다”고 했다. 중국에서 감행하는 공격과는 달리 러시아의 사이버 공걱은 훨씬 정교하고 감지가 어렵다. “예전부터 활동해온 ‘선배 해커’들이 자신들의 노하우를 후배들에게 전수해주는 것 같습니다. 코딩 방법부터 흔적을 지우는 법까지 전부요.”


아직 공격자를 확실히 밝혀내고 있지 못하는 미국 측과는 달리 폰 스톰 작전에 가담한 자들은 목표를 정확하게 이해하고 있는 듯이 보인다. 즉 이번 공격을 감행하는 데에 있어 각자의 할 일을 완수한 것이라고 트렌드 마이크로는 해석하고 있다. 공격자들은 MS 오피스 파일, 진짜 도메인 주소와 거의 비슷한 가짜 주소, 아웃룩 웹 액세스, 악성 아이프레임에 악성 코드를 숨겨 정교한 스피어피싱 공격을 실행했다.


그러나 공격 기술의 백미는 네트워크 안에 계속해서 남아있기 위해 일회용 C&C를 사용했다는 것. “한 번 사용된 C&C는 바로 종료되었습니다. 파이어아이를 피해가기 위해서였다고 해석됩니다.” 이를 보면 공격자들은 자기들이 뚫거나 회피해야 할 방어체제를 정확하게 인지 및 이해하고 있었다고 볼 수 있다. “이런 식의 철저한 조사가 물밑에서 일어나고 있다는 겁니다. 대단히 중요하고 심각한 현상이라고 봅니다. 공격자들이 우리 주위에 맴돌고 있다는 뜻이니까요.”


공격이 얼마나 정교했는지 어떤 스피어 피싱 공격은 단 세 명만을 타깃으로 삼기도 했다. 이 세 명은 대형 다국적 업체의 법무부 직원들이었다. “참 이상하지요. 이런 커다란 조직의 법무부 직원들의 연락처나 이메일 주소는 어디에도 공개되어 있지 않거든요. 게다가 이 직원들이 있던 회사는 법정 싸움을 진행 중에 있었고요. 얼마나 깊숙이, 또 세세히 파고드는지 보여주는 증거입니다. 다행히 세 명 중 어느 한 사람도 메일을 클릭하지는 않았습니다.”


만약 열었다면 어떻게 되었을까? 멀웨어가 시스템에 들어와 필요한 정보를 탐색해 갔을 것이다. 공격자들은 SEDNIT/Sofacy라는 종류의 멀웨어를 사용했는데, 이 멀웨어는 공격자들이 감지되는 것을 최소화하기 위해 여러 단계에 걸쳐 다운로드를 실행한다. “이런 식의 분산 공격을 하면 관리자로서는 감지하기가 굉장히 어렵습니다.” 게다가 공격자들은 아시아태평양 경제협력협의회나 중동국토보안정상회의 등 정치적 회담이나 여러 행사들까지도 고려해 메일을 보내는 타이밍까지도 계산한 것으로 알려졌다.


또한 공격자들은 피해자들이 자주 들어가봄직한 사이트의 도메인과 아주 비슷한 도메인 주소를 피싱 메일에 포함해 보내기도 했다. 이 경우 첨부 파일이 붙을 필요가 없으니 훨씬 ‘덜 수상하게’ 보이는 공격을 감행할 수 있었다. “이런 이메일이 아웃룩 웹 액세스를 통해서 열리기라도 하면 바로 공격에 걸려드는 것이죠.”


켈러먼은 “이번 사건 하나만 놓고 보자면 그냥 정교해진 사이버 스파잉 행위일 뿐입니다. 하지만 시간을 거슬러 올라가면 어떤 식으로, 어떤 방향으로 공격이 다듬어지고 있는지가 보입니다. 그게 중요한 것이죠. 공격자들은 우리 생각보다 훨씬 가까이서 우리를 지켜보고 있습니다.”

보고서는 여기서 다운로드 받을 수 있다.


[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>