해커의 등급을 정하는 건 해킹 기술이 아니라 보안기술

전쟁의 한 가운데서 발생한 정보전, 숨은 의도는 치명적

[보안뉴스 문가용] 뻔한 시작이었지만 미인계라는 고전 중의 고전은 직접 만남이든 간접 만남이든 상관없이 효과적이라는 게 증명되었다. 군사 작전이나 테러 행위에 있어서 꽤나 오랫동안 보기 힘들었던 전략이 현대의 사이버 공간에서 재현된 것이 드러난 것이다.

파이어아이(FireEye)의 연구원들은 지난 2일 시리아 반군에 있었던 일들에 대한 조사를 마치고 그 결과물을 발간했다. 민감한 군사 작전 계획부터 공급망 확보, 온라인 로그인 정보, 인증서 정보, 개인정보, 알아사드 정부에 반대하는 이들의 온라인 대화 히스토리 등이 7.7GB나 도난당하기까지 무슨 일이 있었던 것일까?

공격은 스카이프로 들어왔다. 한 젊은 여자가 알아사드의 정치에 반대한다면서 반군에 속한 군인들에게 대화를 신청한 것이다. 신념도 맞고 미모 취향까지 맞는 여인의 대화를 거절하지 못하는 한창 나이의 젊은이들이 여기에 응했다. 대화의 분위기가 무르익으면 이 젊은 여성은 PDF로 된 사진파일을 자기 사진이라고 속여 다운로드 받도록 했다. 물론 평범한 파일은 아니었다. 원격 접근 트로이목마(RAT)가 들어있는 실행파일이었다. PDF를 여는 순간 스마트폰과 PC에 정보를 훔쳐가는 멀웨어가 설치되도록 한 것이다.

이 가짜 여성에게는 페이스북 계정도 있었던 것으로 보인다. 스카이프가 아니라 페이스북을 통해 관계를 유지해온 반란군 남성들에게는 아주 태연히 전화나 컴퓨터가 있느냐는 질문도 했고, 순순히 대답해준 남성들의 컴퓨터나 전화기에는 얼마가지 않아 멀웨어가 설치됐다. 게다가 반란군을 옹호하는 듯한 웹 사이트도 운영했다. 여기에도 물론 멀웨어가 심겨져 있었다. 이런 식의 정보 도난 공격은 2013년 11월부터 2014년 1월까지 이어졌다고 파이어아이는 보고서를 통해 밝히고 있다.

“대화 내용을 몇 가지 입수했고, 그것을 분석한 결과 이런 모든 일이 실제 일어났다는 걸 확인할 수 있었습니다.” 파이어아이의 보안 전문가인 나트 빌레뉴브(Nart Villeneuve)의 설명이다. 암호화된 PDF 파일을 사용하는 멀웨어를 분석하다가 훔친 정보가 저장되어 있는 서버까지 발견한 장본인이다. “가짜 웹 사이트에는 멀웨어가 내포된 영상이 걸려있었고 악성 페이스북 페이지에는 로그인 정보를 훔쳐내는 멀웨어가 있었습니다. 페이스북 프로파일에요. 이런 촘촘한 그물망에 피해자들은 자신도 모르게 걸려든 것으로 보입니다.”

공격자들이 사용한 건 RAT 중에서도 유명한 다크코멧(DarkComet)이다. 또한 자신들이 직접 커스터마이징한 키로거와 쉘코드 페이로드가 잔뜩 담긴 다른 툴들도 사용된 흔적이 있었다. “상용되고 있는 툴과 자신들이 직접 만든 툴을 모두 사용한 것으로 보입니다. 그러나 상용되고 있는 툴이라고 해서 그냥 쓰지 않고 어느 정도의 커스터마이징 과정을 거쳤습니다. 다크코멧처럼 유명한 툴 역시 그것을 피해자 기기에 이식하는 드로퍼 정도는 직접 제작한 걸 썼더라고요. 즉 공격자들이 개발 능력까지 갖추고 있음을 시사합니다.” 그리고 이 ‘핸드메이드’ 툴들은 시리아 내전 중 발견된 그 어떤 멀웨어와는 사뭇 다르다고 한다.

그러니 공격이 성공할 수밖에 없었다. 시리아 정부를 반대하는 이 반란부대는 이 가짜 여성(들)에게 앞으로의 공격 계획, 터키 및 여러 국가에 있는 시리아 출신 망명자들의 개인정보, 미디어 및 통신 사용 방법 및 절차에 대한 극비사항들을 술술 불었던 것이다(물론 입으로는 아니고). 재미있는 건 전장의 한 복판에서 열정적인 대화의 꽃을 피웠던 이 남녀들이 훔친 자나 도난당한 자나 할 것 없이 정보를 보호한다는 측면에 있어서는 똑같이 부주의한 모습을 보였다는 것이다. 파이어아이의 연구원들은 이 애써 모은 귀한 정보들이 FTP 서버에 암호도 없이 저장되어 있는 걸 발견했으니 말이다. 로그인을 할 필요도 없었다고 한다.

파이어아이의 전문가들은 이전부터 어떤 특정 C2C 서버와 연결된 멀웨어 샘플을 계속해서 쫓고 있었고 그런 와중에 그 FTP 서버를 발견했다고 그 경위를 설명했다. “그리고 그 서버에 가짜 웹 사이트와 훔친 문서들이 있었습니다.”

“이런 사건이 있었습니다,에서 그치는 것이 아니라 시리아 정부가 운영하고 있는 이 해커부대의 실력이 어느 정도인지 가늠하는 것이 중요하다고 봤습니다. 특히 소셜 엔지니어링 기술과 툴을 다루고 만드는 능력에 집중했습니다. 조사를 하면할수록 공격의 능력이 탁월하다는 걸 알 수 있었습니다. 그러나 방어의 측면에 있어서는 그렇게 대단한 모습을 보이지는 못했습니다. 공격을 잘 한다고 수비까지 잘 하는 건 아니라는 게 확인된 것이죠.”

훔쳐낸 후 그 정보들을 처리하는 문제에 있어서 얼마나 ‘프로’다운 모습을 보이느냐로 1등급 해커냐 2등급 해커냐가 드러난다고 팔로알토의 CSO인 릭 하워드(Rick Howard)는 주장한다. “수많은 2등급 해커들을 직간접적으로 만나봤습니다. 정부가 뒤를 받쳐주고 있지 않은 부류들이죠. 공격자로서는 상당히 뛰어나지만 보안, 즉 방어자로서는 그렇지 않더군요.” 해커의 실력등급을 나누는 데 있어서 보안실력이 중요한 기준이 된다는 걸 수년 간 경험해왔다는 것. “좋은 예가 중국과 러시아의 해커들이죠. 중국 해커들은 잡혀도 그만인 듯한 모습으로 일을 처리하고 러시아는 꼭꼭 잘도 숨습니다.”

또 하나, 이번 발견이 주는 의미는 점점 더 많은 국가의 정부에서 사이버 방첩 활동을 무기처럼 활용한다는 점이라고 트렌드마이크로의 사이버보안 담당관인 톰 켈러만(Tom Kellermann)은 풀이한다. “시리아와 러시아의 군사동맹이 큰 역할을 한 것으로 보입니다. 러시아의 강력하고 고차원적인 기술력을 시리아의 누군가가 습득한 것이죠.”

그러나 별로 놀랄 일도 아니라고 켈러만은 덧붙인다. “이런 식으로 전쟁의 형태가 진화하는 건 누구나 예상했던 바입니다. 미인계 등, 전장을 이탈한 은밀한 곳에서 이루어지는 정보싸움은 세계 어느 곳에서나 있어왔고요. 게다가 이번 공격이 엄청나게 발전한 기술력을 동원한 것도 아닙니다. 다만 범죄조직을 선전문구나 돈세탁 등으로만 묘사할 수 없는 시대가 되었다는 의미를 찾을 수는 있겠습니다.”

시리아 반군을 대상으로 한 이 해킹 행위는, 그러나, 작년에는 별 다른 진척이나 움직임을 보이지 않았다. 파이어아이가 공격에 동원된 서버를 제공하는 독일의 호스팅 업체에 이 사실을 알렸기 때문이다. “그래서 마지막 공격이 끝난 후 시점부터는 활동 흔적을 찾을 수 없었습니다.” 빌레뉴브의 설명이다.

시리아와 리비아의 반군과 미디어를 겨냥한 공격전문가이자 이번 파이어아이 보고서를 함께 작성한 익명의 인물은 “원래는 직위가 높은 인물들을 조심스럽게 선정해 공격을 감행했으나 그 과정에 생각지도 않은 인물들이 추가로 걸려들었다”며 “이는 시리아 특유의 인터넷 사용환경 때문이다”라고 밝혔다. 인터넷 연결이 원활하지도 않고, 누구나에게 허락된 것이 아니다보니 인터넷이 되는 컴퓨터 한 대를 여러 명이 돌아가면서 사용하는 게 공격자들의 입장에선 감사할 수밖에 없는 ‘문화’였던 것이다. 토론토대학의 존스콧 레일튼(John-Scott Railton) 연구원은 반대파 지도자들끼리는 스카이프를 사용한 통신이 대세였다고 설명한다. 그렇기 때문에 인터넷 연결이 더더욱 절실했다는 것.

말 그대로 시리아 반군 리더들 사이에서 가장 인기가 높은 통신수단은 요 근래 스카이프였다. 그렇기 때문에 이를 통한 공격이 빈번하게 발생했고, 멀웨어바이츠(Malwarebytes)는 이미 2년 전 스카이프 계정을 훔친 해커들이 어떤 식으로 피해자를 꼬드겨 RAT를 설치하도록 만들었는지 보고서를 작성했던 것이다. 당시 그 보고서에서 언급된 멀웨어는 블랙세이즈, 다크코멧 등이었다. 또한 시리아 반군들 역시 RAT를 활용해 맞불을 놓는 것으로 알려져 있다.

파이어아이는 그러나 이번 공격이 시리아 정부의 사주로 인한 것이라는 증거를 명확하게 드러내는 데에는 실패했다. 아니, 심지어 공격자가 시리아 정부에 대해 어떤 감정을 가지고 있는 건지도 밝혀내지 못했다. 다만 레바논과의 어떤 커넥션이 있음은 부정하기 힘들다고 한다. “레바논의 어떤 인물들과 굉장히 친밀한 모습을 보입니다. 뭔가 있는 게 분명합니다.”

레바논과의 커넥션? “레바논에 있는 한 사용자가 이번 공격에 사용된 야브로드(YABROD) 다운로더와 케이블카(CABLECAR)라는 멀웨어 런처의 시험판을 업로드하는 걸 발견했습니다. 게다가 애초에 이번 스카이프 소셜 엔지니어링 작전에서도 미끼가 레바논 여성이었죠. 물론 이런 정황만 가지고 레바논과의 관계를 함부로 단정 지을 수는 없습니다. 이런 그럴듯한 정황을 일부러 시리아 측에서 일부러 만들어 공격자의 정체를 숨기는 것도 가능한 전략이기 때문입니다.”

보고서는 이번 작전의 의의를 다음과 같이 정리한다. “이번 정보전은 평화로운 시기에 유리한 위치를 선점하거나 어떤 정치적 전략을 수립하고 또 완성하기 위한 수단으로써 활용되었던 기존의 정보전과는 다릅니다. 전쟁이 한창 벌어지는 가운데 일어났기 때문이죠. 즉 정보가 즉시적인 이득이나 승전과 직결되어 있었다는 겁니다. 적군의 계획된 동선 중간에 매복해 있다든지 중요한 공급수단을 차단한다던지 주요 인물을 파악해 쫓는다는 게 가능해지는 정보였고, 당연히 그런 의도가 없지 않았을 겁니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>