G20 회의 초대장과 똑같은 문건 속에 숨겨진 자바스크립트 드로퍼
러시아 사이버전 활동 시작한 듯...때맞춘 사이버 범죄자들 역시 경계해야

[보안뉴스 문가용 기자] 악명 높은 APT 그룹인 털라(Turla)가 러시아 정부를 다시 돕기 시작한 것으로 보인다. 특히 G20 국가들과 관련 정책 입안자나 기자, 동맹국들을 주로 노리는 움직임을 보이기 시작했다고 한다. 이는 털라가 주로 사용하는 것으로 알려진 코피루왁(KopiLuwak)을 피해 시스템에 드롭시키는 새로운 자바스크립트를 분석해서 찾아낸 결과다.


보안 업체 프루프포인트(Proofpoint)는 최근 G20 디지털 경제 태스크포스(Digital Economy Taskforce) 회의와 관련된 문건을 통해 퍼지고 있는 드로퍼를 발견했다. 해당 회의는 함부르크에서 10월에 열릴 예정이다. 해당 드로퍼는 7월 중순부터 활동한 것으로 보여, 비교적 등장한지 얼마 되지 않은 멀웨어라는 전제 하에 현재 활발하게 사용되고 있을 가능성이 높은 것으로 보인다.

프루프포인트의 부회장인 케빈 엡스타인(Kevin Epstein)은 “주로 스피어피싱 이메일을 통해 자바스크립트 드로퍼가 퍼지고 있는 것으로 보인다”며 “주로 G20 회의를 위한 ‘날짜 예약(Save the Date)’이라는 제목의 문건이 사용되고 있다”고 경고한다.

문제의 이 문건은 PDF 파일로 보이지만 사실은 실행이 가능한 프로그램 정보 파일(Program Information File)이다. 클릭해서 PDF 파일을 열면 드로퍼가 실행되고, 코피루왁이 다운로드 된다. 물론 화면 상에는 가짜 문서가 정상적으로 열려 사용자는 뒤에서 벌어지는 일에 대해 감지하지 못한다. 코피루왁을 다운로드하고 설치한 후에 이 자바스크립트는 감염된 시스템의 프로파일링을 진행해 지속적인 공격(persistent attack)을 위한 기반을 다진다.

허위 문건 자체는 상당히 사실적인 모습을 갖추고 있다. 프루프포인트는 이 문건이 “지나치게 진짜 같아, G20 태스크포스 측에서 도난당한 것으로 생각될 정도”라고 말한다. 정말 그렇다면 이번 털라 출현의 문제는 더 커진다. 왜냐하면 해당 초대장은 대중에게 공개되지 않은 것으로, 누군가 G20 디지털 경제 태스크포스 내부에서 털라와 공작을 펼치고 있다는 가능성도 생기는 것이기 때문이다. “아니면 누군가 정상적으로 먼저 초대장을 받은 사람 중에 털라에게 공격을 받았거나, 공모자가 있거나 할 수도 있죠.”

실제 공격을 감행하는 코피루왁(업체에 따라 쿠피루왁(KupiLuwak)이라고 부르기도 한다)은 백도어의 일종으로 감염된 시스템에 대한 통제권을 장악한 후 다양한 악성 행위를 펼치기 위한 발판이 되는 역할을 담당한다. “C&C 서버로부터 추가 명령을 받거나 임의의 파일을 설치하기도 합니다. 키로깅을 하거나 카메라나 마이크로폰을 활성화시키는 스파잉 행위도 하고요. 브라우저에 확장프로그램을 설치해 비밀번호를 훔치기도 합니다.”

이 공격은 최근 러시아가 G20 국가들의 활동에 큰 관심을 가지고 있다는 걸 드러낸다. 엡스타인은 “따라서 G20 참여 국가들은 러시아의 스파이 행위에 경계를 해야 할 것”이라고 경고하지만 “러시아만 바라볼 게 아니라, 이런 털라의 행위를 흉내낸 유사 사이버 범죄자들 역시 활동력을 높일 가능성이 높다”고 말한다.

“요즘은 국가가 수행하는 사이버전이나 암시장의 사이버 범죄자들의 범죄 행위가 분명하게 구분가지 않습니다. 사이버전 수행자들은 범죄자인 것처럼 행동하고, 범죄자들은 사이버전 해커들인 것처럼 행동하죠. 그래서 수사나 추적에 혼선이 오고, 동시에 공격자들은 더 쉽게 공격 목표에 도달하곤 합니다. 이런 상황에서 털라의 활동이 시작됐다고 해서 러시아 스파이 행위만 조심해서는 안 될 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>