2004년부터 활동 시작, 여전히 왕성한 공격 중
터키와 독일에서 러시아에 적대적인 주요 인사 이메일 공격

[보안뉴스 문가용] 적어도 2004년부터 활동한 것으로 알려진 폰 스톰(Pawn Storm)이라는 해킹 단체가 여전히 왕성하게 활동 중이라는 것을 보안 전문업체인 트렌드 마이크로(Trend Micro)가 발견했다. 이번 폰 스톰의 표적은 독일의 메르켈 총리와 총리의 정당인 CDU였다고 한다. 또한 CDU 당원들의 정당 메일 및 개인 메일 모두를 노리는 공격을 동시에 진행한 것으로 밝혀졌다.


폰 스톰은 라트비아에 CDU 정당에서 사용하는 공식 웹 메일 서버인 것과 흡사한 웹 메일 서버를 개설해 CDU 당원들이 사용하도록 유인해 메일 내용은 물론 로그인 정보까지도 알아냈다. 또한 독일 내에서 가장 많은 사람들이 사용하는 이메일 제공업체(우리나라로 치면 네이버나 다음과 같은)의 도메인과 유사한 피싱 도메인도 세 개나 마련해 개인 이메일도 노렸다.

트렌드 마이크로의 페이크 하크보드(Feike Hacquebord) 수석 연구원에 의하면 이런 식의 피싱 공격법은 폰 스톰이 지난 과거에도 여러 번 성공적으로 사용해온 전략이라고 한다. “온라인 이메일함을 처음부터 끝까지 다운로드 받는 것은 기본이고, 포워딩 이메일 주소를 비밀리에 미리 세팅하는 방식으로 차후에도 계정에 접근할 수 있도록 한 치밀함도 갖추고 있습니다.”

폰 스톰이 CDU 당원들을 노린 방식은 지난 3월 터키의 총리 및 주요 정부 인사들을 노린 방식과 매우 흡사하다. 트렌드 마이크로에 따르면 당시 폰 스톰은 스푸핑된 아웃룩 웹 액세스(Outlook Web Access) 서버를 통해 이메일 로그인 정보를 주로 노린 것. “아웃룩 웹 액세스 사용자들을 노린 피싱 공격은 비교적 ‘저렴한’ 편입니다. 그런데도 효과는 매우 좋죠. 즉 가격대 성능비가 좋은 공격 기법이라는 뜻입니다.”

터키의 정부와 매체를 공격하기 위해 폰 스톰은 주소지는 UAE이지만 네덜란드에 있는 서버들을 통해 가상 사설서버 제공업자를 공격했다. 독일의 CDU 정당을 공격하기 위해 라트비아에서 웹 서버를 개설한 것과 동일하다.

한편 피해자 혹은 폰 스톰의 표적 개개인으로 들어가 봤을 때 러시아에게 적대적이거나 불리한 정책을 내걸고 있는 사람들이었다고 하크보드는 짚어낸다. 폰 스톰은 지난 2004년 처음 모습을 드러낸 후 지속적으로 정치적인 목적을 가지고 움직여 온 단체다. 미국과 그 동맹국들의 군사 기관 및 연관 사업자들을 계속해서 노려왔다.

미국과 동맹국들이라고 하면 러시아의 이익과 정 반대에 위치해있는 세력들이다. “뿐만 아니라 폰 스톰은 러시아 시민이라고 해도 러시아의 정책과 반대하거나 비난하면 공격을 한 전적이 있습니다. 우크라이나 매체들과 정치인들도 무사하지 못했고요. 이런 피해자 패턴을 봤을 때 러시아의 정부나 그에 준하는 누군가가 뒤를 봐주고 있다는 것이 강력하게 의심됩니다.”

또한 폰 스톰은 로그인 정보 등을 훔쳐내는 기능을 가진 멀웨어도 자주 사용하는 것으로 나타났다. “최근에는 세드닛(SEDNIT)이라는 데이터 탈취 및 백도어 멀웨어를 주로 설치하고 있습니다. 스피어피싱 공격에 주로 활용되죠.” 그밖에 iOS의 취약점을 익스플로잇 해서 아이폰 및 아이패드 등에 담겨 있는 메시지와 연락처, 보이스 메일을 훔쳐내는 기법도 활용한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)