• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이란의 사이버전 부대, 카피키튼즈 주의보 발령 2017.07.26

기술력 그리 뛰어나지 않으나 지속성과 끈기의 면에서 뛰어나
무차별적으로 정보 가져가고 있지만 금전적인 목적 보이지 않아

[보안뉴스 문가용 기자] 큰 문제를 일으키는 데에 반드시 뛰어난 기술이 필요한 것만은 아니다. 그저 끊이지 않는 열정과 의지만으로도 충분한 위협이 될 수 있다. 이를 증명하는 사례가 있으니 바로 카피키튼즈(CopyKittens)다.

[이미지 = iclickart]


카피키튼즈는 사이버 스파이 그룹으로 이란과 관련이 있는 것으로 보이며 2013년부터 활동을 시작한 것으로 추정된다. 또한 이스라엘, 터키, 사우디아라비아, 요르단, 미국의 IT 기업, 정부 기관, 학술 단체, 연구소 등에서 다량의 정보를 탈취해가는 데 성공한 바 있다. 이 그룹을 계속 추적해온 보안 업체 클리어스카이 사이버시큐리티(ClearSky Cyber Security)와 트렌드 마이크로(Trend Micro)가 최근 이들의 끈기에 대한 보고서를 발표했다.

먼저 카피키튼즈의 특징은 마이크로소프트나 구글, 아마존, 페이스북, 오라클 등 유명한 기업에서 만든 것 같은 도메인을 다량으로 생성한 후 멀웨어 배포나 악성 사이트 호스팅, C&C 용도로 활용했다는 것이다. 이는 그리 ‘대단한’ 공격 방법이 아니다. 또한 여러 뉴스 매체나 소소한 웹사이트들을 침해한 후 워터링홀 공격을 하기도 했다. 이것도 사이버전 단체로서는 그리 놀랄만한 기술력은 아니다.

“사이버전 단체 중에서는 꽤나 낮은 수준에 머물러 있는 것으로 보입니다. 제로데이 공격을 하는 것도 아니고, 스스로 만들어낸 툴이나 멀웨어는 기능성이 현저하게 떨어집니다.” 클리어스카이의 위협 첩보 책임자인 에얄 셀라(Eyal Sela)의 설명이다. “여태까지 이들이 활용한 전략도 그리 놀라울 것이 없었습니다. 그냥 일반적인 사이버 범죄자들과 큰 차이가 없을 정도지요. 악성 이메일 첨부파일, 피싱, 웹 애플리케이션 공격 등이 전부였습니다.”

그렇다면 이런 카피키튼즈가 어떻게 주요 조직들로부터 정보들을 훔쳐낼 수 있었던 것일까? 셀라는 “그만큼 열심히, 꾸준하게 두드린 것”이라고 설명한다. “기술력이 모자란 걸 노력과 지속성(persistence)으로 극복한 것이죠. 그러므로 이란의 해커들도 분명히 위협거리가 된다는 걸 기억해야 합니다. 어쩌면 너무 사소해서 뚫리는 것일 수도 있어요.”

트렌드마이크로와 클리어스카이는 카피키튼즈의 전형적인 공격 방식에 대해 다음과 같이 묘사한다. “주로 IT 공급망의 약점을 통해 네트워크로 침투합니다. DNS에 근간을 둔 데이터 빼돌리기와 C&C 연결을 자주 시도하는 편이기도 하죠. 그러니 이란의 특별한 관심을 받고 있다고 생각한다면, DNS와 관련된 부분을 면밀히 모니터링 해야 합니다. 또한 가짜 페이스북 프로파일 등을 통한 소셜 미디어 공격도 빈번하게 하니 직원들의 소셜 미디어 사용 현황도 잘 살펴야 하고, 교육도 할 필요가 있습니다.”

클리어스카이는 카피키튼즈 추적 전문 기업으로 자리 잡을 수도 있을 전망이다. 이번 보고서가 벌써 세 번째다. 또한 기존 보고서에 없었던 새 멀웨어 및 도메인 소식이 있어, 카피키튼즈가 특히 염려되는 조직이라면 한 번쯤 읽어보는 게 좋을 것으로 보인다. 새로운 멀웨어에 대한 정보도 나오는데, 클리어스카이에 따르면 .NET으로 만든 백도어로, 공격자들이 표적으로 삼은 시스템에 멀웨어를 다운로드하고 실행시킬 수 있게 해주는 기능을 가지고 있다.

“또 새로운 툴도 추가되었습니다. 네트워크에 한 번 침투하고 나면 횡적으로 움직일 수 있도록 해주는 것이죠. 훔친 크리덴셜을 통해 이렇게 할 수 있도록 해줍니다. 그런데 바이러스토탈(VirusTotal)에 등록된 백신 툴로는 전혀 감지가 안 되더군요. 이것 외에 다른 멀웨어와 툴들도 있는데, 역시 바이러스토탈의 백신 툴로는 탐지가 안 됐습니다.”

카피키튼즈의 또 다른 특징은 “합법적인 툴들을 많이 활용한다는 것”이다. 예를 들면 코발트 스트라이크(Cobalt Strike)라는 소프트웨어의 시험용 버전으로 목표로 삼은 네트워크를 스캔하고 취약점을 검색한다. 메타스플로잇(Metasploit), 미미캐츠(Mimikatz), 하비(Havij) 등도 이런 도구들 중 하나다.

“이들이 사용하는 도구나 전략들을 보건데, 정보를 최대한 많이 수집하는 것이 당장의 목표로 보입니다. 지금 문서든 스프레드시트든 개인정보든 환경설정 파일이든 데이터베이스든 무차별적으로 다 가져가고 있기도 하고요.” 셀라는 이란 정부가 개입되어 있을 가능성이 크다고 보고 있다. “일단 돈을 목적으로 하고 있지 않고, 공격 기간도 사이버전 부대들의 그것과 대동소이하기 때문입니다. 표적들도 대부분 이란 정부가 노림직한 곳들입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>