• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 스파이 그룹 롱혼과 CIA의 연관성 밝혀졌다 2017.04.11

특정 툴들의 기능과 업데이트 일자 겹치고...암호화 규칙 유사성 보여
볼트 7 공개되어 더 이상 같은 툴 사용하지 않을 것으로 예상돼

[보안뉴스 문가용 기자] 시만텍의 연구원들이 최근 위키리크스를 통해 공개된 CIA의 문건인 볼트 7(Vault 7)을 분석해 오랫동안 정부 기관과 민간 업체들을 공격해 온 사이버 스파이 그룹, 롱혼(Longhorn)과의 연관성을 발견했다고 발표했다. 위키리크스에 따르면 볼트 7은 CIA의 툴이라고 하니, 롱혼 역시 CIA가 운영한 것이 아니냐는 의문이 자연스럽게 제기된다.


롱혼은 시만텍에서 2014년부터 계속해서 추적해온 스파이 단체로, 아무리 늦게 잡아도 2011년부터 활동을 해온 것으로 알려져 있었으나, 이번 발견으로 2007년부터 존재해왔던 것으로 드러났다.

롱혼은 트로이목마와 같은 백도어에서부터 제로데이 취약점 익스플로잇까지 다양한 방법을 동원해 유럽, 아시아, 아프리카, 중동의 16개국에 분포되어 있는 40개의 개인 및 단체를 침해해왔다. 재미있는 건 미국의 어떤 시스템에도 침투한 적이 있었는데, 곧바로 ‘언인스톨러’가 실행되었다는 것이다. 해당 공격이 실수로 벌어졌다는 걸 암시한다.

시만텍은 CIA가 곧 롱혼이라고 발표하지는 않았지만, 롱혼이 사용하던 툴들이 볼트 7 문건을 통해 공개된 툴들과 상당히 유사하다고 설명했다. “툴과 기술의 유사성을 고려했을 때 롱혼과 볼트 7 사용자가 동일한 인물이나 단체임에는 의심의 여지가 없습니다.” 표현만 달랐지 사실상 롱혼과 CIA가 매우 밀접하게 연결되어 있다고 말한 것.

예를 들어 볼트 7에는 플럭스와이어(Fluxwire)라는 멀웨어의 공개일과 기능 설명과 같은 기록이 담겨있다. 이는 롱혼이 오랫동안 사용해온 코렌트리(Corentry)라는 툴의 시간대와 거의 정확하게 겹친다고 시만텍은 설명한다. “코렌트리는 지속적인 업데이트를 받으면서 새로운 기능들을 덧입어왔는데, 이 업데이트 날이 볼트 7 내 플럭스와이어 관련 기록에 언급된 날짜들과 대부분 일치하거나 근소한 차이를 보입니다.”

시만텍의 보안 대응 팀장인 에릭 치엔(Eric Chien)은 이를 두고 “결정적인 증거”라고 말한다. “업데이트 타임라인이 일치한다는 건 반론의 여지조차 없습니다.”

볼트 7의 문건인 파이어앤포겟(Fire and Forget)에서도 이러한 유사점이 발견되었다. 파이어앤포겟은 아크앤젤(ArchAngel)이라는 툴을 통해 멀웨어 모듈들을 설치하는 방법을 담고 있는 일종의 사양서로, 롱혼의 스파잉 툴인 플렉서(Plexor)가 모듈을 로딩하는 방법이나 인터페이스와 매우 흡사하다.

또한 암호화와 관련된 프로토콜을 다루는 볼트 7 문건에는 SSL 내에 크립토그래피를 사용하여 중간자 공격을 막는 방법, 32비트 키로 AES를 사용하는 방법, 키 교환 방법 등이 나온다. 역시 롱혼 분석을 통해 발견된 암호화 관련 규칙들과 유사점이 상당히 많은 것으로 나타났다.

치엔은 롱혼이 사용해왔던 툴들이 완벽한 스파잉을 위한 도구들이라며, “모든 기능을 갖춘 통합 백도어라고 이해하면 된다”고 말한다. “사실상 공격자가 원하는 모든 기능을 수행할 수 있도록 해줍니다.”

롱혼 공격의 대상은 에너지, 금융, 통신, 우주항공, 교육, IT, 천연자원 산업에 속해 있는 조직들이었다는 첸은 “롱혼이 아직까지 특정 산업에 공격을 더 집중시켰다거나, 불법적인 송금 활동을 벌인 적이 없다”고 설명한다. “모든 공격이 단순 스파잉 활동을 위한 것이라고 보입니다. 또한 롱혼 뒤에 국가 정부 기관이 있는 것으로도 보이고요.”

시만텍은 롱혼의 기록들을 NSA의 스노든이 공개한 문건과도 비교해보았다. “하지만 많이 달랐습니다. NSA는 주로 인프라 접근권을 가져가기 위해 노력을 하죠. 메일 서버나 DNS 서버를 침해하는 게 좋은 예입니다.”

롱혼의 툴셋은 이것과 사뭇 다르다. 사람을 자원으로서 활용하기 때문이다. 치엔은 한 가지 예로 “명령을 입력받아 문건을 찾아내도록 조작된 VLC 멀티미디어 애플리케이션”을 꼽는다. 미리 고용된 내부자가 이 앱을 자기 기기에 설치하고 사무실에 들어가 실행한다. 그러면 공격자들이 앱을 통해 필요한 문건을 네트워크 내에서 찾아내는 것이다.

“물론 이 내부자라는 인물들이 반드시 롱혼과 연관이 있다고 생각할 만한 증거는 없습니다. VLC 앱을 설치하는 것까지는 스스로도 알고 있었을 테지만, 그 악성 앱이 정확히 어떤 기능을 하는지는 잘 모른 상태에서 해당 작전에 참가한 것일 수도 있어요.”

치엔은 “볼트 7이 세상에 공개된 이상, 롱혼이든 CIA든 같은 툴을 사용하지는 않을 것”이라고 예상하고 있다. “대부분 사이버 스파이 단체가 그렇듯, 자신들의 기술과 툴을 새롭게 해서 돌아올 겁니다. 이미 공개된 툴들로는 몰래 활동할 수가 없으니까요.”

치엔은 “이러한 공격이 존재해왔다는 건 매일처럼 발생하는 해킹 사고 소식과 차원이 다른 것”이라며 “기업들은 볼트 7을 통해 공개된 툴들이 어떤 기능을 가지고 있는지 이해하고, 그걸 바탕으로 자신들의 보안 상태를 새롭게 점검해야 할 필요가 있다”고 설명한다. 또한 이런 식의 고급 공격 방식은 멀티레이어 보안(multi-layered security)으로 방지해야 한다고 덧붙였다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>