• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중동 사이버 범죄의 산업화, 생각보다 빠르고 거대하다 2017.09.28

최근 중동 지역에서 발생한 공격, 추적해보니 커다란 인프라가 배후에
“공격은 그냥 일어나지 않는다”...꼼꼼한 준비와 계획 반드시 전제돼

[보안뉴스 문가용 기자] 중동의 한 조직에서 발생한 사이버 보안 사건을 조사 중이던 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 현대의 사이버 공격 인프라가 얼마나 고도로 발전했는지를 밝혔다. 이는 팔로알토 네트웍스가 투페이스(TwoFace)라고 명명된 웹 쉘을 지난 몇 개월 동안 수사하다가 새삼스럽게 알게 된 것이라고 한다.

[이미지 = iclickart]


얼마 전 중동의 한 조직에서는 누군가 원격에서 침투하여 네트워크를 오랜 시간 정탐한 사실이 드러났다. 이때 공격자들은 투페이스라는 웹 쉘을 통해 지속적으로 네트워크로 들어와 횡적으로 움직이며 정보를 수집한 것으로 보인다. 팔로알토는 이번 공격과 관련된 IP 주소를 수집해 추적했고, 그 와중에 생각보다 훨씬 큰 공격 인프라를 맞닥트렸다. 해당 인프라에는 침해된 웹사이트, 크리덴셜 수확 시스템, C&C 서버, 익스플로잇 툴 다수가 포진되어 있었다.

크리덴셜을 훔치기 위한 용도로 활용되고 있던 웹사이트들 중 일부는 원래의 정상 웹사이트와 완전히 똑같이 복제되어 있었는데, 이 정상 웹사이트들은 국립보안연구원(Institute of National Security Studies), 텔아비브 대학, 매크로 어드바이저리 파트너스(Macro Advisory Partners), 예루살렘 히브리 대학을 흉내 낸 것으로 전부 이스라엘의 조직들 소유인 것으로 밝혀졌다.

또한 작년 사우디아라비아의 항공사, 금융 업체, 정부 기관, 사회 기반 구조 관련 기관들을 겨냥한 정보 탈취 공격의 중심에 있었던 오일리그(OilRig)라는 멀웨어와 이번 투페이스 공격 사이의 깊은 연관성도 발견할 수 있었다. 물론 이 부분에 대해서는 아직도 수사를 진행하고 있어 조심스러운 입장이긴 하다.

“공격자들이 오일리그와 투페이스 공격을 함께 사용함으로써 표적으로 삼은 네트워크로의 침투 성공률을 높였을 수도 있습니다. 또한 추가적인 포스트 익스플로잇 툴(post exploitation tool)들을 업로드시켜 이후 공격을 도모했을 수도 있고요. 아직은 두 사건의 공격자가 동일하거나 관련성이 있는지는 확실히 밝혀내지 못했습니다만 투페이스 공격자들이 오일리그 멀웨어를 사용할 수 있다는 건 분명합니다.”

팔로알토의 수석 위협 관리자인 크리스토퍼 버드(Christopher Budd)는 “두 가지 공격이 혼합되어 있다는 건 중동의 위협 행위자들 간 인적 네트워크가 꽤나 확장되어 왔다는 걸 보여준다”며 “요즘 사이버 위협이 가장 활기를 띠고 있는 지역은 단연 중동”이라고 강조했다. “아직 서방의 보안 업체들은 중동의 사이버 공간이 어떠한 상태에 놓여 있는지 정확하게 알기가 어렵습니다. 중동 지역의 현황에 대해서는 눈이 가려져 있죠. 그런데 지금 정황상 이 지역에서도 위협 행위자들 간의 교류가 눈에 띈다는 겁니다. 사이버 범죄자들이 교류하는 건 어느 정도 범죄 인프라가 갖춰졌을 때의 일입니다.”

또한 오일리그의 피해자들과 투페이스의 피해자들이 전체 공격 인프라에 추가된 것도 팔로알토는 발견할 수 있었다. “투페이스 웹 쉘과 통신하는 IP 주소 하나는 특정 중동 국가의 석유부로 연결되어 있었습니다. 그런데 이 IP를 추적하다보니 투페이스 쉘과만 연결된 것이 아니라, 중동의 한 교육 기관으로 포스트 익스플로잇 툴을 업로드시키는 데에도 활용되고 있었습니다. 두 가지 공격 피해자들이 뒤섞여 있는 모양새입니다.

버드는 “팔로알토가 이 건을 수사한 것이 벌써 1년 반째”라며 “덕분에 오일리그와 투페이스 공격 운영에 대한 가시성을 높일 수 있었다”고 설명했다. “공격자들의 공격 행위가 상당히 공격적이고 꼼꼼했습니다. 적어도 2016년 5월부터 활동을 시작한 것으로 보이고, 저희가 발견한 인프라는 만들고 구축하고 유지하는 데에 오랜 시간이 걸릴만한 규모였습니다.”

아직 수사는 멈추지 않았다. 더 큼지막한 것이 나올지도 모른다. “이번 수사를 통해 그 동안은 한계적으로밖에 접할 수 없었던 중동 지역의 사이버 보안 실태를 접할 수 있게 되었습니다. 더 찾으면 찾는 대로 보안 커뮤니티에 공개할 예정이며, 이를 통해 가시성을 높일 생각입니다.” 여태까지 밝혀진 것에 대해서 버드는 “공격은 그냥 우연히 일어나지 않는다는 게 확인됐다”며 “사이버 범죄도 ‘시장 조사’, ‘기획’, ‘준비’, ‘실행’ 등의 단계를 거치는 등 보다 산업화되고 있다”고 설명했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>