美인사처관리처· 유나이티드항공사·캡스터터빈·국제항공사

[보안뉴스 주소형] 역대 최대 규모의 의료정보가 유출된 앤섬(Anthem)사건. 결국 총 8,000만 명 이상의 피해자가 발생했는데 이에 대해 ‘블랙 바인(Black Vine)’이라는 사이버범죄조직이 유력한 범인으로 지목됐다. 시만텍에 따르면 블랙 바인은 자체적인 인프라스트럭처와 제로데이 취약점을 갖추고 있을 뿐 아니라 멀웨어 제작까지 가능하다.

이러한 블랙 바인의 배후에 톱섹(Topsec)이 있을 것으로 시만텍은 분석했다. 여기서 톱섹은 중국 베이징에 위치한 보안 관련 리서치, 트레이닝, 감사 등을 담당하고 매년 해킹 콘테스트까지 개최하는 보안회사다. 또한 시만텍 연구원들은 2012년경부터 활동을 시작한 블랙 바인은 미국에 있는 의료 및 항공우주 산업을 주요 타깃으로 사이버공격을 가하고 있다고 주장했다.

시만텍은 2012년에 발생한 가스터빈 제조사인 캡스톤 터빈(Capstone Turbine)사 해킹사건과 2013년의 세계적인 항공사 중 한 곳과 2014년의 유럽 우주항공 회사 공격사건 모두 블랙 바인이 개입했을 것으로 보고 있다. 블룸버그도 익명의 제보자 말을 인용하여 해당 수사가 거의 마무리 되어가는 단계라면서 앤섬사를 공격한 이와 최근 몇 달 사이에 발생한 미국 인사관리처(OPM) 및 유나이티드 항공사 해킹 사건이 모두 동일범의 소행인 것처럼 보도하고 있다.  

블랙 바인이 공격에 사용했던 툴과 방법을 살펴보면 중국의 히든링크스(Hidden Lynx)라는 해커그룹이 사용하던 것들과 비슷한 부분이 많다. 가령 타깃이 관심을 방문할 법한 사이트에 잠복하여 익스플로잇시키는 워터링 홀(watering-hole) 공격을 하던 것도 그렇고 같은 제로데이 취약점을 사용하기도 했다.

뿐만 아니라 블랙 바인은 휴릭스(Hurix), 사쿠렐(Sakurel), 마이바스트(Mivast) 등과 같은 커스텀 멀웨어를 사용했다. 그들이 커스텀 멀웨어를 선택하는 기준은 지휘통제(command-and-control) 서버 도메인을 가진 기술 관련 애플리케이션으로 가장한 것들이 대부분이다.

앤섬 사건의 경우 공격자가 마이바스트라는 멀웨어의 변종을 사용하여 공격했다. “마이바스트를 시트릭스(Citrix)와 쥬니퍼 VPN 루어인 것처럼 숨긴 걸로 봐서 기술자들을 노린 것 같다.” 그런데 여기서 이때까지 알려진 바와 다른 한 가지는 앤섬사의 최초 감염 경로다. “워터링 홀 공격으로 인해 공격이 시작되었다는 보도는 없었는데 우리는 스피어피싱을 통해 워터링 홀 공격이 가해진 것으로 보고 있다”라고 시만텍 연구원들은 설명했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>