• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

자신을 추적하는 보안전문가 역공격한 이란 해커들 2015.09.03

친이란 성향의 로켓 키튼, 추적자 개인을 파악해 스피어 피싱 공격

최근 스파이 단체들, 단체나 조직의 정보보다 개인 정보 노려


[보안뉴스 문가용] 이란 출신인 것으로 보이는 사이버 스파이 그룹이 자신들을 추적하는 보안 전문가를 역공격했다. 사연은 로켓 키튼(Rocket Kitten)이라는 단체와 클리어스카이(ClearSky)라는 업체에서 근무하는 전문가 사이에서 벌어진 일로, 트렌드 마이크로까지 얽혀 있다.

 


“클리어스카이의 전문가가 로켓 키튼에 접근하는 데 성공했고, 심지어 그중 한 사람인 척 하기까지 했습니다.” 이번에 클리어스카이와 해당 사건에 대한 보고서를 같이 발간한 트렌드 마이크로의 존 클레이(Jon Clay) 수석 글로벌 마케팅 책임자의 설명이다. “그 사실을 알아챈 로켓 키튼이 역공격을 위해 스피어피싱 이메일을 발송했는데, 이 이메일에는 트렌드 마이크로의 멀웨어 스캐너처럼 보이는 악성 링크가 담겨 있었습니다.”


사실 로켓 키튼은 해당 보안 전문가에게 접근하기 위해 처음엔 다른 방법을 사용했다. 바로 가짜 페이스북 프로파일을 만들어 소셜 엔지니어링 기법을 활용한 것이다. 하지만 이 방법은 아무런 성과를 내지 못했다. “그래서 이들은 우회경로를 선택합니다. 이 클리어스카이 직원이 로켓 키튼을 조사하면서 함께 일했던 사람이 한 명 있는데, 그 사람에게 클리어스카이 직원이 보낸 것처럼 보이는 가짜 메일을 보낸 것입니다. 즉 스피어 피싱 공격 표적을 바꾼 거죠. 로켓 키튼이 어떻게 둘 사이를 알았는지, 또 이메일 주소를 어떻게 알아냈는지는 아직도 정확히 밝혀내지는 못했습니다. 분명한 건 자신들의 뒤를 캐고 있는 게 누군지는 분명히 알고 있었다는 겁니다.”


그렇다면 이들은 앙갚음을 위해 클리어스카이의 전문가를 역추적 한 것일까? “아직 로켓 키튼의 동기는 잘 모르겠습니다. 그렇다고 아예 소득이 없지는 않습니다. 그 설명을 하기 전에 애초에 클리어스카이가 ‘해커 중 한 명인 척’ 해킹 단체에 접근한 건 사이버 범죄 수사에서 흔히 사용되는 기법임을 강조하고 싶습니다. 사이버 버전의 위장잠입 수사는 굉장히 흔해서 이에 대해 앙갚음을 한다는 것이 오히려 더 이상한 현상이라는 겁니다.”


이번 건으로 유추해볼 수 있는 건 로켓 키튼의 공격 방식이 ‘단체나 조직’을 통째로 노리는 것에서 ‘개인’을 표적 삼는 것으로 옮겨가고 있다는 것이라고 트렌드 마이크로는 분석하고 있다. “로켓 키튼은 여태까지 중동의 정책, 외교, 국제관계, 국방, 보안, 저널리즘, 인권활동과 관련된 ‘단체’를 계속해서 노려온 것으로 알려져 왔습니다. 그런데 최근엔 이란의 반체제 인사, 이스라엘인 등으로 바뀌고 있습니다. 목적은 여전히 ‘정보’이면서요. 즉 단체와 조직의 정보보다 개인의 정보를 노리는 쪽으로 노선이 바뀌었다는 겁니다. 이는 오히려 예전 지정학 관계에 있어 적대 세력을 노리던 때로 회귀한 것으로도 볼 수 있습니다.”


개인을 노리게 된 건, 개인의 정보를 훔치기가 더 쉽고 그 정보를 가지고 2차로 기업에 침투하면 그만이기 때문이다. “조직의 일원인 척 하면 오히려 해킹한 것보다 더 간편하고 안전하게 기업의 네트워크를 휘저을 수 있죠. 정보를 훔치는 것도 더 용이하고요.” 그래서 요즘 여러 해킹 단체들이나 해커는 한 개인의 로그인 정보를 노리는 경우가 많다고 한다. 하지만 이는 최종 목표가 아니다.


로켓 키튼을 조사한 클리어스카이는 이들의 표적이 된 인물을 최소 550명 발견했다. 중동에서만이다. “과학자, 기자, 연구원, 망명한 이란인이 대부분이었습니다. 이것만 봐도 로켓 키튼이 이란의 체제에 해가 되거나 명성을 더럽힐 소지가 있는 자들의 뒤를 쫓는 정치적인 캠페인과 연루되어 있을 가능성이 높다는 걸 유추할 수 있습니다. 게다가 이 550명의 인물들은 이란 적대국의 국방이나 정책을 책임지고 있는 영향력 있는 인사들이 대부분이었습니다. 정말 알짜배기만 쫓고 있는 것이죠.”


사실 보안업계에서 로켓 키튼이란 이름이 그렇게 크게 위협적이진 않다. 해킹 기술도 대단치 않고 이미 알려질 대로 알려진 것이 대부분이다. 피싱 메일을 작성함에 있어서 오타와 비문도 다수 있어서 아마추어리즘이 여실히 드러난다. “아마 개별적으로 활동하고 있던 해커들을 끌어 모은 단체가 아닐까 합니다. 그러니 각자가 예전에 사용했던 방법을 그대로 사용하고 있는 것이겠죠. 실제로 로켓 키튼의 해킹술은 상당히 구식입니다.”


그럼에도 로켓 키튼의 존재가 찜찜한 건 이들이 이런 구식 방법을 꾸준히 사용하면서 누군가를 계속해서 공격하고 있기 때문이다. “아무리 구식이고 오래된 방법이라도 끊임없이 계속 활용하면 분명히 얻어가는 게 있을 텐데, 그게 정확히 무엇인지 알 수가 없습니다. 그 점이 이들의 존재를 마냥 웃어넘길 수 없게 만듭니다. 이란이 국제 사회에서 어떤 존재인지 생각하면 더 불편하죠. 크게 경계하지는 않겠지만 그럼에도 계속해서 지켜봐야 할 그룹이긴 합니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>