• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

색다른 정보 노리는 스파이 그룹, 와일드 뉴트론 2015.07.09

2년 추적한 시만텍, “아마도 정치적인 배경은 없을 것”

또 다른 추적자 카스퍼스키, “빙산의 일각이면 더 큰 일”


[보안뉴스 문가용] 애플, 페이스북, 마이크로소프트, 트위터를 공격해 유명해졌다가 잠깐 사라진 해킹 그룹이 조용하게 활동 범위를 늘려가다가 전문가들의 눈에 발각되었다. 여전히 초대형 기업들을 노리고 있는 것은 마찬가지였으나, 제약, 소프트웨어, 인터넷, 석유, 철강 산업 등 분야가 훨씬 더 다양해졌다. 게다가 미국, 유럽, 캐나다 등 국경선도 넘나드는 모습이었다. 이들의 이름은 모포(Morpho)혹은 와일드 뉴트론(Wild Neutron).

 


그러나 보통의 사이버 스파이 그룹과는 달리 이 그룹은 정치적인 목적이나 배경을 가지고 있을 가능성이 현저히 낮다. 이들의 목적은 철저히 금전적인 것으로 보인다는 것이 2년 동안 이 그룹을 추적해온 시만텍의 결론이다. “미국에 근거지를 둔 범죄조직일 가능성이 가장 높습니다. 총 20여개 국가에 있는 49개의 조직들이 이 단체의 공격을 받았습니다. 주로 MS 익스체인지나 로터스 도미노(Lotus Domino) 이메일 서버를 통한 스파잉 행위를 일삼았습니다.” 시만텍의 설명이다.


금전적인 목적을 가진 사이버 스파이 그룹이 최초로 발견된 건 아니다. 중국만 해도 미국이나 유럽 기업을 염탐해 지적재산을 훔친 뒤 그것을 중국 내 공장에 넘겨 복제품 혹은 유사품을 찍어내는 것으로 돈을 버는 해킹 단체가 여럿 존재한다. “하지만 와일드 뉴트론의 경우 수익을 올리는 방식이 조금은 다릅니다. 기업의 R&D 자료를 노리거나 사업이 움직이는 큰 방향에 대한 정보를 훔쳐내는 데에 주력하고 있는 것으로 나타났거든요. 즉시 수익을 올리는 데 도움이 될 만한 정보가 아닙니다. 아마도 투자를 위한 정보 탈취로 보입니다. 주식거래를 더 유리하게 하기 위한 것이죠.”


와일드 뉴트론의 이런 행태는 작년 파이어아이가 발견한 핀4(FIN4)를 생각나게 한다. 기업 임원진들의 이메일 계정을 주로 노려가며 M&A 정보를 위주로 훔쳐가던 해킹 단체였다. 당장 시장에 팔 수 있는 정보가 아니라 미래지향적인 정보를 훔친 것으로 업계에 적잖은 충격을 주었던 사건이었다. 그렇다고 와일드 뉴트론과 핀4가 같은 조직이라고 보기는 어렵다는 게 시만텍의 분석결과다. “와일드 뉴트론의 침투 방식이 훨씬 더 발전해 있어요. 두 단체 사이의 기술적인 차이가 도저히 같은 조직이라고 보기 힘들 정도입니다. 심지어 같은 시대에 출현했다고 믿기도 힘들 정도지요.”


와일드 뉴트론을 쫓아다닌 건 카스퍼스키도 마찬가지였다. 정확히 말하면 시만텍은 이 단체를 모포라고 부르고 있고 카스퍼스키는 와일드 뉴트론으로 부르고 있다. 본지에서는 모포라는 한글 단어와의 혼돈을 예방코자 와일드 뉴트론이라는 이름을 주로 쓰기로 한다. 카스퍼스키에 따르면 와일드 뉴트론은 인증서 인증 코드를 훔치고 플래시 플레이어의 제로데이 취약점을 통해 시스템을 감염시킨다.


“와일드 뉴트론은 적어도 2011년부터 활동을 시작한 것으로 보입니다. 그리고 그 동안 여러 IT 기업들은 물론 스파이웨어 개발사, 지하디스트들의 포럼, 비트코인 기업까지 다양한 곳들을 뚫어냈습니다. (투자를 위한 정보 수집을 한다는 전제 하에)굉장히 다양한 분야에 관심을 가지고 있는 사람들 같습니다.”


하지만 와일드 뉴트론이나 핀4와 같이 대중에게 드러난 사례가 빙산의 일각에 불과하다면, 우리가 아는 사이버 세상에는 어떤 일이 벌어지고 있는 것일까. 시만텍 측은 “이런 범죄조직이 얼마나 오랫동안 우리 모르게 활동해 왔는지는 알 수가 없습니다. 이런 유사 범죄조직이 얼마나 존재하는지도 알 수가 없고요. 예상컨대, 정말로 핀4나 와일드 뉴트론이 빙산의 일각이라면 앞으로 더 많은 사례들을 접할 수 있을 겁니다”라고 예상했다. “마치 스턱스넷이 처음 발견되었을 때와 같은 충격입니다.”


한편 2013년 애플과 페이스북, 마이크로소프트, 트위터 등을 공격한 멀웨어와 이번에 새롭게 발견된 멀웨어, 그리고 심지어 2012년 3월에 발견된 멀웨어가 모두 똑같았다는 시만텍은 “멀웨어 측면에서 변화는 없었지만 운영의 측면에서는 발전이 있었다”고 설명한다. “지난 번에는 공격 한 번에 하나의 대상만 감염시켰다면, 이번에는 공격 한 번에 여러 대상을 한꺼번에 감염시키는 수법을 사용하고 있더군요.”


멀웨어 자체에 큰 변화가 없는 이유로 시만텍은 “공격이 매우 빠르게 진행되기 때문”일 것이라고 추측했다. “피해자 컴퓨터에 머무는 시간이 매우 짧습니다. 12시간이면 1기가바이트의 데이터를 훔쳐내는 속도를 가지고 있더라고요. C&C 서버를 구성할 때 다양한 층위를 생성해 추적이 거의 불가능에 가깝게 만들어 놓았으며 자신들의 흔적을 말끔하게 지워내기도 하는 등 실력이 만만치 않았습니다.”


시만텍은 이 범죄조직이 크게 두 가지 기능을 가진 부서로 편성되었을 가능성을 점치고 있다. 하나는 기술을 담당하고 다른 하나는 정보를 현금화시키는 데 전문인 사람들로 구성되어 있을 것이라고 말이다. “또한 공격자들은 영어를 모국어로 사용하는 듯 하며, 미국의 근무시간과 겹치는 시간대에서 활동합니다.”


현재 시만텍은 법원에 와일드 뉴트론에 대한 모든 정보를 제출한 상황이다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>