오션로터스그룹 혹은 APT32, 베트남 국익 관계된 공격 일삼아
더 먼 과거에는 정치적 목적 가지고 주로 활동...최근엔 경제적 목적 가져

[보안뉴스 문가용 기자] 국가 정부의 후원을 받아 APT 공격을 일삼는 사이버전이라고 할 때 첫 선에 생각나는 국가는 중국과 러시아, 그리고 미국이 있다. 그런데 여기에 베트남이 추가될 전망이다. 최근 보안 전문업체 파이어아이(FireEye)는 지난 3년 동안 여기저기서 발견했던 APT 공격의 흔적들을 종합한 결과, 베트남이 소리 소문 없이 계속해서 사이버 스파이 행위를 진행해왔다는 사실이 드러났다.


파이어아이는 베트남의 이 해킹 그룹을 오션로터스그룹(OceanLotusGroup) 혹은 APT32라고 명명했다. 파이어아이에 의하면 APT32는 2014년부터 지속적으로 다국적 기업들을 정찰하거나 공격해왔는데, 모두 베트남의 국가적 이득을 직접, 간접적으로 증대시키는 결과를 낳았다. 공격자들은 독일, 중국, 필리핀, 미국, 영국, 베트남 등에 고루 퍼져있는 것 같다고 파이어아이는 추정하고 있다.

“파이어아이는 2014년부터 이 그룹을 추적해왔습니다. 그리고 베트남의 생산, 소비재, 숙박 산업에 영향을 미치는 다국적 기업들을 겨냥한 공격을 주로 실시하고 있다는 결론을 내릴 수 있었습니다.” 파이어아이 맨디언트의 보안 컨설팅 수석 책임자인 닉 카르(Nick Carr)의 설명이다. “APT32는 주로 네트워크 보안, 기술 인프라를 전문으로 하는 대기업들과 투자자들을 대상으로 하는 컨설팅 기업들을 주로 노려왔습니다.”

그렇다면 이 베트남 단체는 어떤 공격들을 벌여왔을까? “2014년, 유럽의 한 대기업이 사이버 공격을 당했습니다. 이 기업은 베트남에 생산시설을 건축하려고 했던 곳이죠. 2016년에는 한 국제적인 숙박업 개발업체가 공격을 당했는데, 베트남 진출을 목전에 두고 있던 상황이었습니다. 비슷한 시기에 비슷한 이유로 여러 소비재 제조업체들도 당했고요.”

가장 최근인 2017년에도 이 그룹은 공격을 감행했다. 대상은 국제적인 컨설팅 업체로, 정확히는 베트남 지사가 공격을 받은 것이다. 파이어아이는 APT32가 외국 정부 기관들과 베트남 정부에 적대적인 기자 및 운동가들도 2013년부터 감시해왔다고 주장하고 있다. 2013년엔 전자프런티어재단(Electronic Frontier Foundation)이 기자, 운동가 등에 대한 대규모 사이버 공격이 있었다고 발표하기도 했었다.

당시 전자프런티어재단의 에바 갈페린(Eva Galperin)과 모건 마키보아(Morgan Marquis-Boire)는 심지어 “베트남 정부에 방해가 되는 기자, 운동가 등에 대한 사이버 공격은 2013년 이전부터 있어왔다”고 말하기도 했었다.

“사실 많은 나라들이 멀웨어를 가지고 있죠. 아마 대부분이 멀웨어 몇 개씩은 비축해놓고 있을 겁니다. 베트남도 그런 나라들 중 하나라는 게 드러난 것입니다. 베트남의 공산당 정부는 이런 멀웨어들을 사용해 자신들에게 불리한 여론을 조성하는 사람들을 집중적으로 공격해왔어요. 이런 정치적 목적의 사이버 스파이 행위는 최소 2010년 3월부터 시작된 것으로 보입니다.”

이런 조각난 사실들은 결국 무엇을 말하는가? APT32가 오래 전부터 정치적 목적으로 키워왔던 사이버전 능력을 한 3년 전부터는 경제적인 목적으로 활용하기 시작했다는 것이다. 게다가 공격 전술에도 변화가 있었다. 파이어아이에 의하면 최근 APT32는 액티브마임(ActiveMime)이라는 파일과 소셜 엔지니어링 기법을 사용해 피해자가 매크로 기능을 활성화하도록 유도한 후 악성 페이로드를 다운로드 받도록 하는 기법을 활용하기 시작했다고 한다. 물론 예전부터 해왔었던 집요한 스피어피싱 공격 역시 병행하고 있다. 자신들의 피싱 공격이 얼마나 유효한가를 측정하기 위해 클라우드 기반 이메일 분석 소프트웨어까지도 활용하고 있다고 파이어아이는 설명한다.

“예전과 달라진 점이 있다면 APT32가 악성 파일을 직접 첨부하는 행위를 그만두었다는 겁니다. 합법적인 클라우드 스토리지 서비스에 멀웨어를 호스팅하고, 그곳으로 피해자들을 꾀어오는 수법으로 바꿨습니다. 그리고 자신들의 피싱 공격이 얼마나 퍼져있는지 가시적으로 확인하기 위해 액티브마임 문서의 기본 웹 페이지 기능을 활용합니다.”

피해자가 이 악성 링크를 클릭할 경우 악성 페이로드가 다운로드 되는데, 이는 파워쉘에 기반을 두고 있는 툴로, 이 툴이 시스템이 침투함과 동시에 이벤트 로그의 특정 부분이 지워지며 Invoke-Obfuscation 프레임워크를 사용하기 때문에 어지간해서는 발견되기도 힘들다. 여기서부터는 APT 활동이 본격적으로 시작된다. 파이어아이에 의하면 APT32는 맥아피(McAfee)의 ePO라는 인프라를 침해한 적도 있다고 한다. “피해자들이 악성 페이로드를 ePO 서버로부터 곧바로 받아왔던 것이죠.” 파이어아이는 APT32가 주력으로 사용하는 멀웨어 페이로드로 WINDSHIELD, KOMPROGO, SOUNDBITE, PHOREAL 등이 있다고 추가 공개했다.

파이어아이의 분석가들은 “베트남 정부가 전 세계에 퍼져있는 베트남 이민자들이나 언론가, 운동가들을 노리는 여론 압박 캠페인을 계속해서 실시할 것으로 보인다”며 “경제적인 활용도 서슴치 않을 전망이라 베트남과 관련이 있는 대기업들은 특별히 주의해야 할 것”이라고 경고하기도 했다. 카르는 “발견되지 않아서 그렇지 사실 많은 국가들이 이와 비슷한 활동을 하고 있을 것이며, 더 많은 증거들이 발견될 것으로 보인다”고 전망했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>