• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버전의 새로운 플랫폼, 아이폰과 아이패드 2015.02.05

러시아의 오퍼레이션 폰 스톰에서 개발한 것으로 보여

감염 목표는 정보, 감염 경로는 아직 미지수


[보안뉴스 문가용] 인터넷이 사이버전의 각축장이 되어가는 가운데 서방 국가의 군사시설, 정부, 국방 관련 기업, 각종 미디어들이 공격을 받고 있다. 그리고 공격의 경로는 보다 다양해지고 있다. 최근엔 애플 아이폰과 아이패드를 이용한 스파이웨어 애플리케이션까지 극성을 부리고 있다는 소식이다.

 


러시아와 깊은 관련이 있을 것으로 추정되는 오퍼레이션 폰 스톰(Operation Pawn Storm)이라는 조직이 최근 iOS 앱을 교묘하게 조작해 모바일 기기에 저장된 문자 메시지, 연락처, 이미지, 위치 정보, 와이파이 상태, 설치된 앱, 프로세스 등의 정보를 훔쳐내는 것이 발견되었다. 게다가 통화 내용도 녹음할 수 있다고 한다. 트렌드 마이크로가 이 발견을 주도했다.


“이미 사이버 공간은 냉전 시대로 회귀했습니다. 그리고 현재 애플의 기기들이 서방 국가들의 심장부로 가는 통로가 되고 있고요. 게다가 폰 스톰은 근접 공격 기술까지 갖췄습니다. 서방 국가들이 조심해야 할 것들이 늘어나고 있지요.” 트렌드 마이크로의 수석 사이버 보안 전문가인 톰 켈러만(Tom Kellermann)의 설명이다.


오퍼레이션 폰의 뒤를 추적하다가 이번에 iOS 멀웨어를 최로로 발견한 트렌드 마이크로의 전문가들은 스파이웨어가 이미 해커들이 한 번 성공적으로 공격이 들어간 기기에만 설치가 가능하다는 가설 쪽에 무게를 두고 있다. MS의 윈도우 시스템을 겨냥한 SEDINT 멀웨어와 비슷하다.


“폰 스톰과 연관성이 깊어 보이는 악성 iOS 앱을 두 개 찾았습니다. 하나는 엑스에이전트(XAgent)고 다른 하나는 매드캡(MadCap)이라고 평범한 iOS용 게임 이름과 동일합니다. 둘은 각각 IOS_XAGENT.A와 IOS_XAGENT.B라는 이름으로 검색됩니다. 분석 결과 둘 다 SEDNIT와 관련이 있는 앱이라는 사실을 알 수 있었습니다.” 트렌드 마이크로의 블로그애 게재된 내용이다.


“SEDNIT와 관련된 스파이웨어들의 목적은 개인정보를 훔치고 음성을 녹음하고 스크린샷을 찍어 원격의 C&C 서버로 전송하는 겁니다. 현재 이번 iOS 멀웨어들과 연결되어 있는 C&C 서버는 살아있는 상태입니다.”


엑스에이전트가 iOS 7 상에서 돌아갈 때 모바일 화면 상에서는 그 어떤 표시도 나타나지 않는다. 게다가 사실을 파악한다고 해서 종료시키는 것이 쉬운 것도 아니다. 앱의 프로세스를 종료시켰더니 즉시 자동으로 시작하는 걸 수차례 목격했다는 것이 트렌드 마이크로 측의 설명이다. 그러나 iOS 8의 경우 엑스에이전트 실행 시 아이콘이 나타났고 강제종료 시켰을 때 프로세스가 곧바로 재실행되는 현상은 발생하지 않았다. 즉 iOS 8이 등장하기 전에 제작된 앱이라는 증거다. 그러므로 작년 9월 이전 시기임이 분명하다. “멀웨어의 코드 구조가 굉장히 체계적이었습니다. 유지와 업데이트 역시 성실하게 된 모습이었습니다.”


오퍼레이션 폰 스톰의 활동이 활발해지기 시작한 건 미국과 러시아 간의 긴장감이 팽팽해지면서이다. 게다가 공격 대상이 대부분 러시아의 이익과 연관이 있는 조직, 기업, 지역이었다. 미국은 물론 NATO 동맹국, 구 소련 연방 출신 국가들이었던 것이다. 더 자세히 들여다보면 미국 국방 관련 업체인 아카데미(ACADEMI), SAIC, 유럽안보협력기구 등이 이들의 공격에 시달렸다.


그러나 트렌드 마이크로는 아직까지 러시아와의 연결성을 부각시키고 있지는 않고 있다. 이와 달리 파이어아이는 러시아가 오퍼레이션 폰 스톰의 배후 세력이라고 강력하게 주장하고 있다. “러시아 정부가 뒤를 봐주는 사이버 스파이 행위는 추적이 힘들고 정체 파악이 불가능할 정도로 어렵다는 특징이 있습니다.” 파이어아이의 부회장이면서 이번 트렌드 마이크로의 보고서 작성에 참여한 댄 맥호터(Dan McWhorter)의 설명이다.


“이번에 보고서 작성을 위해 멀웨어 분석에 적극 참여해본 결과, 저는 개인적으로 러시아 정부가 배후에 있다는 결론을 내릴 수밖에 없었습니다. 또한 이전에 없었던 근거 자료를 확보하는 것도 가능했습니다.”


그러나 아직까지 어떤 경로를 통해 사용자의 기기를 감염시키는지는 알려지지 않았다. 어떤 경우는 사용자 화면에 “화면을 터치하면 앱이 설치됩니다”라는 노골적인 가짜 메시지가 뜨기도 했다. 또 다른 가설은 사용자가 아이폰을 주로 연결시키는 PC(특히 윈도우 기반)를 감염시켰을 수도 있다는 것이다. 또한 공격자들은 애플의 ad hoc provisioning을 활용해 앱을 배포하는 것으로 분석했다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>