[보안뉴스 주소형] 지능형 타깃 지속공격(APT)에 특화되어 있는 해커조직, 폰 스톰(Pawn Strom)이 미국을 향한 사이버공격 수위를 높이고 있다는 주장이 제기됐다. 미국의 보안업체인 트렌드 마이크로(Trend Micro)에 따르면 폰 스톰의 배후에는 러시아가 있을 것으로 추정되고 있고, 이들은 미국의 군사시설, 대사관, 방위산업 등을 몇 해 전부터 집중공격하다 몇 주 전부터 그 공격 수위를 바짝 높였다.

지난해 10월에 처음 정체가 드러난 폰 스톰은 올해 초부터 새로운 익스플로잇용 URL들과 주로 DDos 공격을 수행하도록 명령을 내리는 C&C서버 수십 개를 세팅하는 등의 바쁜 움직임을 보이고 있다.

이들의 집중공격 대상은 백악관과 북대서양조약기구(NATO)에서 유럽·아시아·중동 정부로까지 확대되고 있는 추세다. 뿐만 아니라 러시아의 반체제 인사들과 크렘린(Kremlin) 반대세력까지 공격대상에 포함된 정황 등을 미루어보아 이들과 러시아 정부와의 연관성이 높이 점쳐지고 있는 상황이다.

“지정학적으로 관련 조직들을 살펴봤을 때 러시아가 유력해 보인다.” 트렌드 마이크로의 톰 켈러먼(Tom Kellermann) 최고 사이버보안 책임자가 말했다. 이어서 그는 “그들은 초반에는 미국정부, 북대서양조약기구, 우크라이나를 집중 공격해왔는데 최근 몇 달 전부터 러시아 정권에 비판적인 시각을 갖고 있는 언론인들과 수천 명의 일반인들로까지 공격범위를 확대하고 있다.”

지금까지 알려진 바로는 폰 스톰 그룹은 2007년경부터 활동을 시작했다. 그들은 주로 멀웨어가 가득 찬 스피어 피싱 이메일, 워터링 홀 공격, 마이크로소프트 아웃룩 로그인 계정을 스푸핑하는 등의 공격을 일삼아 왔다. 현재까지 공격의 대상이 된 조직들로는 ACADEMI라는 미국 국방 관련 업체와 SAIC, 유럽안보협력기구가 있다. 가장 최근에 폰 스톰의 표적이 된 이들은 바로 백악관과 언론인들이다.

트렌드 마이크로에 따르면 올해 초 백악관에서 오바마 대통령을 인터뷰한 인기 유튜버(Youtube blogger) 세명이 폰 스톰에게 공격당했다. 미국 신문사 군 관련 분야 특파원도 마찬가지라고 덧붙였다.

공격의 강도 또한 높아지고 있는 것으로 파악됐다. 공격 유형이 갈수록 정교해지고 있다는 것. 정확히 최초에 어디를 통해 공격을 한 건지 그 진원지를 파악하기 힘들 정도라고 한다.

그들이 가장 주력하고 있는 행동은 그들의 발자취를 남기지 않고 몰래 접근하는 것이라고 켈러맨은 분석했다. “혼란을 목적으로 둔 공격이 있었다는 점도 알게 됐다”라며 “최근 페이로드를 분석해보면 코드 실행을 지연시켜 샌드복싱(sandboxing) 툴을 피하게 하는 등의 정황을 포착했다.”

게다가 폰 스톰은 최근 개인을 공격하기도 했지만 여전히 집단을 공격하는 성향이 더 강하다고 그는 설명했다.

마지막으로 그는 최근 몇 달 사이에 소니사 해킹사건을 비롯해서 미국에서 유독 많은 유출사건이 발생하고 있다면서 여기에는 미국 국무부와 백악관도 포함되어 있다고 말했다. 당시 소니사 해킹의 주범이 북한이라는 점도 여전히 논란이 되고 있는 사안이라는 말도 덧붙였다.

한편 트렌드 마이크로사는 폰 스톰과 러시아의 연관성과 소니사 해킹 주범에 대한 지속되는 논란 등에 대해 모두 명확한 증거는 없다고 선을 그었다. 다만 지금까지 확실한 건 그들이 공격 수위를 높이고 있다는 것이다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>