• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커조직 듀크, 알고 보니 러시아의 꼭두각시? 2015.09.20

대단한 후원자를 등에 업고 탄탄한 재무구조 이상의 힘 보유

일반 사이버범죄 조직들과는 확연히 다른 공격법 및 규모


[보안뉴스 주소형] 올해 주목해야 할 사이버 범죄조직으로 꼽혔던 미니듀크(MiniDuke)의 윤곽이 서서히 드러나고 있다. 미니듀크는 적어도 2008년부터 활동했으며 러시아 연방의 후원을 받고 있다는 의혹까지 제기된 것. 핀란드 보안 솔루션 기업인 에프시큐어(F-Secure)가 최근 발표한 보고서에는 이에 대한 구체적인 내용이 담겨 있다.

 


하지만 에프시큐어 연구원들은 이러한 자신들의 연구에 대해 상당히 조심스러운 모습이다. “듀크가 어떠한 특정 국가 밑에서 일을 하고 있다는 정확한 증거는 없다. 다만 듀크의 활동 패턴 등과 같은 정황상 러시아가 배후에 있을 것이라고 강한 추측이 드는 것이다.”


보고서에 따르면 일단 ‘듀크(Dukes)’는 국가의 후원을 받는 조직이다. 그들의 공격 타깃 및 스케일을 보면 확실히 일반 사이버범죄 조직들과는 다르다는 것을 알 수 있기 때문이다. 재정적으로도 지난 7년 간 안정적인 지원을 받고 있다. 이들은 지속적으로 정교한 정보탈취 멀웨어와 같은 기술들을 개발해 자신들의 포트폴리오를 확장하고 있다. 이를 연도별로 살펴보면 다음과 같다.


- 핀치듀크(PinchDuke), 2008-2010에 활동했던 로그인 정보 탈취 멀웨어

- 제미니듀크(GeminiDuke), 2009-2012에 활동했던 시스템 환경설정 데이터 탈취 멀웨어

- 코스믹듀크(CosmicDuke), 2010년부터 권한 상승 익스플로잇 등을 사용하는 정보 탈취 멀웨어

- 미니듀크(MiniDuke), 2010년부터 활동하는 백도어 및 로더. 트위터를 C&C 서버처럼 활용 

- 코지듀크(CozyDuke), 2010년부터 활동하는 모듈식의 멀웨어 플랫폼. 공격 유형이나 작전에 따라 필요한 모듈을 C&C로부터 다운로드 받아 목적에 맞게 조합해서 사용되는 등 유연성이 가장 큰 장점 

- 어니언듀크(OnionDuke), 2014년부터 활동. 토르의 악성 출구 노드(Exit Node) 및 토렌트 사이트를 통해 퍼지는 모듈화된 멀웨어 

- 시듀크(SeaDuke), 2014년부터 활동 중으로 오직 코지듀크를 통해서만 퍼질 수 있는 백도어. 파이썬으로 제작됨

- 해머듀크(HammerDuke), 지난 1월부터 활동 중인 백도어이며 이 또한 코지듀크를 통해서만 퍼질 수 있다. 해머토스HammerToss)나 넷듀크(NetDuke)라고도 불리는 멀웨어 

- 클라우드듀크(CloudDuke), 지난 6월부터 사용되고 있으며 두 개의 백도어 변종이 포함된 멀웨어 툴 세트. 하나는 C&C 서버로부터 명령을 받고 나머지 하나는 마이크로소프트 원드라이브 클라우드 스토리지를 사용해 해커와 통신.


이렇게 지난 7년이라는 기간 동안 그들은 가끔씩 언론이나 보안전문가들에게 포착되기도 했다. 하지만 에프시큐어는 듀크 해커들은 들킨 것에 대해 크게 개의치 않고 있는 것처럼 보인다고 한다. 활동을 잠시 멈추고 잠적한다거나 더 나은 기능이 추가된 변종이 나오거나 하지 않고, 하던 일을 그대로 계속한다는 것.


“듀크는 대단한 후원자를 등에 업고 있으며 그 후원자가 듀크를 조종하고 있다는 것은 확실하다. 그 베일이 벗겨지면 엄청난 파장이 일 것으로 보인다. 여기서 대단한 후원자라 함은 탄탄한 재무구조 이상의 힘을 갖고 있다는 것이다. 다른 사이버범죄 조직이나 서드파티들과는 차원이 다르다.”


이렇게 규모상 듀크가 국가의 지원을 받고 있다는 것은 거의 기정사실인데 그렇다면 과연 어떤 국가일까? 이를 분석해보기 위해 행적을 쫒아보니 듀크가 타깃으로 삼는 모든 것들이 러시아에 이로운 공격이라는 것을 발견했다고 에프시큐어 연구원들은 말했다.


예를 들면 미국이 폴란드에 미사일 방어 시스템을 구축한다고 발표하자마자, 핀치듀크가 폴란드, 체코, 미국 씽크탱크를 표적으로 한 캠페인을 진행했다. 마치 NATO에서 보낸 것 같은 자료를 가짜로 만들어 미끼로 사용했다. 뿐만 아니라 듀크 멀웨어 활동시간이 주로 러시아의 수도인 모스크바(moscow) 시간으로 오전 9시부터 오후 7시라는 점도 해당 의혹에 힘을 실고 있다.


“그들이 공격에 사용한 멀웨어 및 전략 사이의 연관성 등을 분석해보면 우리가 왜 그들의 뒤에 러시아가 있다고 의심하는지 알 수 있을 것이다. 공격의 진원지라던지 실행 방법을 비롯해서 타깃의 모든 요소들의 교집합은 바로 러시아다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>