파이어아이, APT28과 러시아 정부를 점선처럼 연결 시도

심증은 완성되었을지 몰라도 확증은 여전히 부족해

[보안뉴스 문가용] 파이어아이(FireEye)는 지난 화요일 소파시(Sofacy)라는 멀웨어를 사용하는 해커 집단에 대한 보고서를 발표했다. 보고서에 따르면 이 집단은 최소 10년 간 활동해왔으며, 파이어아이가 보고서에서 직접 표현하지는 않았지만 러시아 정부를 배후 세력으로 상정하고 있는 것이 분명히 느껴진다.

이미 지난 주 트렌드마이크로(TrendMicro)에서 폰 스톰 작전에 대한 보고서를 발행했고, 그에 대한 기사를 보안뉴스에서 내보낸 바 있다. 폰 스톰 작전 역시 러시아를 배후 세력으로 유력하게 바라보고 있는데, 이번 파이어아이의 보고서에서는 트렌드마이크로의 그것보다 훨씬 방대한 분량으로 역사적인 맥락과 작업 방식에 대한 세부내용을 기술하고 있다. 또한 이 해킹 집단의 이름을 APT28이라고 밝혔다.

파이어아이는 소파시 멀웨어 혹은 SEDNIT 멀웨어가 지나간 지난 7년여 간의 흔적들을 추적하며 러시아 정부와 이 멀웨어의 점선 같은 연결 관계를 발견할 수 있었다고 밝혔다. 또한 이 멀웨어는 사우어페이스(Sourface)라는 드로퍼와 에빌토스(Eviltoss)라는 백도어 멀웨어, 찹스틱(Chopsick)이라는 모듈라 임플란트로 구성되어 있음도 보고서를 통해 알렸다.

“러시아 정부가 후원하는 이런 식의 스파이 행위는 사이버 세상에서 유령과 같아서 그 실체를 정확히 파악하는 게 정말 힘들었습니다.” 이번 보고서 작성 및 발행을 진행한 댄 맥호터(Dan McWhorter)의 설명이다. “그렇지만 제가 보기에 러시아 정부가 이런 일을 주도하고 있는 게 거의 확실합니다. 그리고 이번 보고서가 그런 저의 확신의 증거가 될 수도 있을 듯 합니다.”

보고서에 어떤 내용이 담겨있기에 그럴까? 먼저 지난 트렌드마이크로의 보고서에서와 같이 이번 공격의 주요 목표는 NATO, OSCE 등 유럽의 보안 관련 기관들이었고 국방 관련 행사나 전시회였다. 여기에 파이어아이는 러시아 정부와 현재 우호적이든 적대적이든 밀접한 관계를 가지고 있는 동유럽 정부와 군사기관 역시 주요 공격 대상이었음을 추가했다. 특히 2008년부터 현재까지 팽팽한 긴장관계에 있는 그루지아도 주요 타깃 중 하나였음을 보고서는 밝히고 있다.

공격 대상이 러시아와 이런 저런 관계에 놓여있다는 것만으로는, 그러나, 충분한 증거가 될 수 없다. 보고서는 추가 증거를 제시하는데 먼저는 멀웨어의 업데이트를 꾸준히 담당하고 있는 개발자들이 전부 러시아어를 모국어로 사용한다는 것이다. 또한 업데이트가 이루어지는 시간이 모스코바 및 상트페테르부르크의 업무 시간과 겹친다는 것도 중요한 증거다. 무엇보다 멀웨어가 2007년부터유연하고 지속적으로 쉬지 않고 자라고 있다는 것에 주목할 필요가 있다.

“공격이 집요하게 계속되었습니다. 멀웨어의 진화 역시 마찬가지였고요. 7년간 계속된 이 캠페인이 한 번도 페이스가 늦춰지거나 한 적이 없습니다. 기술력보다 그런 열정이 더 놀라운 일입니다.” 맥호터의 설명이다. “이런 꾸준함이 멀웨어 시장에서는 엄청난 힌트가 됩니다. 왜냐하면 엄청난 자금력이 뒷받침되지 않고서는 불가능한 일이거든요. 즉 누군가 엄청난 세력이 뒤에 버티고 있다는 뜻입니다. 아무도 취미로 이런 일을 10년 가까운 긴 시간 동안 이렇게 열정적으로 하지 않습니다.”

트렌드마이크로의 수석사이버보안 책임자인 톰 켈러만(Tom Kellermann)은 “파이어아이의 이번 보고서는 매우 훌륭하지만 해킹 단체가 사용하는 기술에 대한 조사결과가 충분히 나와 있지 않아 아쉽다”고 평했다. “저희도 이 단체를 추적했고 특히 구글, 야후, 라이브, 허시메일, 얀덱스 등의 무료 이메일 서비스를 통한 피싱 공격을 분석해왔습니다. 이런 경우 타깃형 공격을 감행하는 경우가 굉장히 드물었는데, 국방 사업 관계자나 고위 공무원에 대부분 국한되어 있었습니다. 또한 공격자들이 훔친 계정으로 로그인해서 IMAP과 연결된 메일을 다운로드하는 것도 목격했습니다. 그 경우 미국과 라트비아의 IP 주소를 활용한다는 것도요. 이런 자세한 내용이 없더군요.”

하지만 맥호터는 이번 보고서 발간의 목적은 그 어느 것보다 APT28이 사용하는 멀웨어의 진화에 초점을 맞추는 것뿐이었다고 반박했다. 또한 이런 과정 중에서 해커들의 행동 패턴을 분석해 러시아 정부와의 연결고리를 찾을 수 있었기 때문에 그 자체로서 충분한 의미를 가지고 있다고 밝혔다. “사람들은 러시아 정부를 금융 범죄 사건에 연결시키려고 합니다. 하지만 둘이 노리는 바는 전혀 다릅니다. 즉 금융사건과 해킹 사건을 하나로 묶어서 보고자 하면 러시아 정부와의 연결고리를 형성하기가 힘들죠.”

하지만 APT28이 러시아 정부와 연결되어 있다는 증거는 여전히 부족하다는 주장도 있다. 조사업체인 아이사이트(iSight)는 “우리도 역시 APT28을 수년 간 추적해왔다”면서 “이 단체의 활동범위는 정부의 그것을 뛰어 넘을 때가 많다”고 주장했다. 정부 및 군사 관련 정보만을 노리는 것이 아니라는 것이다. “에너지, 민군겸용기술, 제재에 관한 여러 가지 정보를 찾는 것 역시 이들이 한 일이었습니다. 석유값이 떨어져 경제에 큰 타격을 입은 러시아 입장에서는 상당히 중요한 문제인 것이죠. 그리고 이에 대한 정보나 이론들은 민간 부문에서 주로 찾을 수 있는 것입니다. 즉 정부 기관뿐 아니라 민간의 영역도 이들이 뒤지고 다녔다는 것입니다.”

맥호터도 이에 찬성한다. “보고서 작성을 위해 정부 및 군사 기관에 대해서만 주로 다뤘지만 그렇다고 APT28의 활동 영역이 이에 제한되어 있다고 생각하지는 않습니다. 또한 러시아 정부가 노리고 있는 정보가 꼭 정부 영역에만 있는 것도 아니라고 생각하고요. 결국 위험에 노출되어 있는 건 정부 기관뿐 아니라 사기업들도 마찬가지입니다.”

“결국 이겁니다. 러시아 정부가 눈독을 들이고 있는 무언가가 있다면 APT28이 발 벗고 나선다는 것 말입니다. 그리고 그런 그들의 태도와 행동에 대한 증거 및 추적 자료가 저희 보고서의 요지입니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>