• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 APT 그룹 털라, 새로운 활동 사항 발견돼 2017.08.31

주로 전 소비에트 회원국 노려...유럽 동남 지역 국가들도
항상 최신 멀웨어 사용하는 털라, 고도로 발전된 APT 그룹

[보안뉴스 문가용 기자] 러시아어를 구사하는 APT 그룹 털라(Turla)의 활동이 발견되었다. 그것도 두 보안 업체가 따로따로 발견했으니, 하나는 ESET이고 또 다른 하나는 카스퍼스키다. 먼저 ESET은 게이저(Gazer)라고 이름 붙은 백도어에 대한 보고서를 발표했는데, “털라가 최근부터 사용하기 시작한 멀웨어”라고 설명했다. 공격 대상은 대부분 외교 기관이라고 한다.

[이미지 = iclickart]


“게이저 백도어는 데이터를 훔쳐내는 기능을 주로 하고 있으며, 동남부 유럽 국가의 외교 기관들 다수 컴퓨터에서 발견되었습니다. 전 소비에트 연방 국가들에게서도 비슷한 공격이 있었습니다.” ESET의 설명이다.

카스퍼스키는 털라의 최근 활동 자체를 커다란 하나의 캠페인이라고 보고 있으며, 이를 화이트베어(Whitebear)라고 이름 붙였다. 화이트베어는 카스퍼스키가 고객사들을 대상으로 올해 2월 중순 즈음 경고한 바 있는 캠페인이기도 하다. 즉, 카스퍼스키는 이 공격이 같은 캠페인의 2단계인 것으로 이해하고 있는 것이다. 카스퍼스키는 2016년 발견된 털라의 캠페인에 화이트 아틀라스(White Atlas)라는 이름을 붙이기도 했다.

털라의 기존 공격들이 그랬듯이 화이트베어의 공격 또한 여러 침해된 웹사이트와 하이재킹 된 인공위성 통신망으로 구성된 C&C 인프라를 특징으로 하고 있다. 그중 일부는 이전 공격에 실제 사용된 적이 있는 것이기도 하다. 특히 코피루왁(Kopiluwak)이라는 데이터 유출형 멀웨어가 활용된 최근 공격의 C&C 인프라와는 많은 부분이 겹친다.

“하지만 가장 결정적인 건 화이트 아틀라스를 항상 먼저 사용해보고 나서 화이트베어 모듈을 설치한다는 겁니다. 화이트 아틀라스와 화이트베어의 배후에 같은 세력이 있다는 뜻일 수밖에 없습니다. 그래서 이번에 발견된 화이트베어 공격에 털라를 연관시킬 수밖에 없는 것이지요.” 카스퍼스키 측의 설명이다.

카스퍼스키의 보안 연구 책임자인 커트 봄가트너(Kurt Baumgartner)의 경우도 “둘의 연관성은 부정하기 힘들다”는 의견이다. “C&C 서버, 로깅 방법 등 털라의 이전 공격들과의 유사점이 한두 개 발견된 게 아니거든요. 다만 이번엔 털라답지 않게 공격 범위가 좁다는 특이점이 있긴 합니다. 대사관 등의 외교 기관만을 노리고 있거든요. 7월부터는 국방 관련 조직들도 공격 대상이 되긴 했지만요.” 한 발 더 나아가면 이전 화이트 아틀라스 공격 때 대상이 되었던 기관이나 인물들 중 일부가 추려져서 재차 공격을 받고 있는 것으로도 보인다고, 카스퍼스키는 분석한다.

ESET의 수석 멀웨어 연구원인 장-이안 부틴(Jean-Ian Boutin)은 “게이저 백도어에서 털라가 이전에 사용했던 카본(Carbon)과 카주아(Kazuar) 백도어들과의 연관성이 발견되었고, 이 때문에 털라의 최신 무기라고 결론을 내렸다”고 한다. “C&C 서버로부터 임무를 부여 받을 때 암호화된 통신이 활용된다든지, 그 암호화된 임무는 침해된 컴퓨터나, 같은 네트워크 내 다른 컴퓨터에 의해 실행될 수 있다든지 하는 점들이 상당히 흡사했죠.”

세 가지 멀웨어 모두에서 암호화된 콘테이너가 발견되었다는 것도 유사점이다. “이 콘테이너에는 멀웨어의 요소들과 환경설정 정보가 저장되어 있고, 활동 내역을 기록하는 로그 파일도 있습니다. 털라의 백도어로는 스키퍼(Skipper)라는 것도 있는데요, 게이저와 함께 사용되는 경우도 있었습니다.”

털라에 대해 부틴은 “매우 고도화된 공격 단체”라고 평한다. “빠른 속도로 발전하고 항상 변화합니다. 툴이든 전략이든 모든 면에서 말이죠. 이들이 사용하는 멀웨어도 항상 최신 기술로 무장되어 있어요. 그래서 잘 먹히는 거고, 털라를 추적하고 적발하는 건 난이도가 특히 높습니다.”

하지만 털라에 대한 경고가 나온 건 이번 달만 벌써 두 번째와 세 번째다. 첫 번째는 프루프포인트(Proofpoint)가 코피루왁이라는 새로운 자바스크립트 드로퍼를 발견한 것인데, 이 백도어는 G20 회원 국가를 노리는 데에 주로 사용됐다. 두 번째는 ESET의 게이저, 세 번째는 카스퍼스키의 화이트베어다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>