랜선만 있다면 모든 곳을 넘나들 수 있는 해커 조직들

[시큐리티월드 문가용] 바이트 단위의 정보들이 랜선을 타고 흐를 때마다 물소리 같은 게 났다면 우리는 사시사철 계곡에 앉아있는 기분으로 책상을 차지하고 있었을 지도 모른다. 그러나 그 속에 도사리고 있는 나쁜 의도들이나 공격성을 알게 된다면 그 기분은 피서지 찾은 안락함이나 청량감과는 거리가 먼, 등골 오싹한 위태로움이나 간담이 서늘해지는 느낌과 비슷했을 것이다. 계곡에 앉아있긴 하되, 그 끄트머리로 점점 몰리는 것과 비슷한 기분이랄까.

점점 사람과 사람, 물건과 물건이 가깝게 연결되고 있는 때에, 전자 정보 인프라 내에서는 전선에서 소리가 안 나는 게 축복이라고 여겨도 될 만큼 살벌한 공방전이 벌어지고 있다. 흔히들 말하는 정부 간 사이버전은, 오프라인으로 번졌으면 이미 세계 종말이 오고도 남았을 수준이고, 여기에 이상을 실현하려는 핵티비스트들까지 끼어들어 때론 게릴라처럼 때론 혁명가처럼 나타나 혼란을 가중시키고 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
이득을 위해서건 메시지를 전달하기 위해서건, 아무튼 이런 사람들의 특징은 ‘공격’을 성취의 도구로 삼고 있다는 것. 그래서 정보보안에서는 이런 사람들을 해커라고 하기도 하지만 공격자라고 통칭하기도 한다. 시큐리티월드가 그동안 유명세를 떨쳤던 굵직한 공격자들을 정리해보았다.

국가를 위해 싸우는 사이버전 전문 단체들

1. 중동
SEA : 시리아 전자군(Syrian Electronic Army)을 줄여 부르는 말로 2011년부터 2013년까지 활발하게 활동했다. 지금은 조금 뜸한 것이 사실이나 해체됐다는 증거는 아직 나타나지 않았다. 바샤르 알 아사드(Bashar Al-Assad) 대통령을 지지하는 성향을 나타내며, 그렇기 때문에 알 아사드 대통령을 독재자라고 비난하는 언론을 주요 공격 대상으로 삼는다. 뉴욕타임즈, CNN, 워싱턴포스트, 타임즈 등의 유명 매체들은 전부 SEA의 공격을 받은 경험이 있다. SEA가 우파적인 성격을 나타나기 때문에 좌파적인 해킹 단체인 어나니머스(Anonymous)와 앙숙 관계에 있는 것 역시 놀라울 것이 없는 현상이다.

Tarh Andishan 발음하기가 어려운 그룹으로 아마 ‘타르 안디샨’ 쯤으로 읽힐 듯한 이 단체는 이란 정부의 후원을 받는 사이버전 부대다. 미국과 이스라엘이 2009~2010년 스턱스넷(Stuxnet)이라는 유명한 공격을 이란 핵 시설에 감행한 후에 생긴 것으로, 적국의 군사, 상업, 교육, 환경, 에너지, 항공 등 다양한 분야를 공격한다.

클리버(Cleaver) 작전으로 약 50개 이상의 조직을 공격한 것으로 유명해졌으며, 이 작전은 특히 공항을 주요 표적으로 삼아 물리적인 위협까지도 초래했다. 약 20명 정도로 구성된 것으로 보이며 미국, 중앙아메리카 국가들, 유럽, 한국, 파키스탄, 이스라엘 등이 피해국으로 꼽힌다.

Ajax Security Team/Flying Kitten/Rotten Kitten 2010년부터 이란에서 활동을 시작한 해킹 단체로 처음엔 그 성격이 핵티비스트(국가의 이익보다 이상에 입각한 메시지를 전달하기 위해 해킹을 하는 활동주의자들)에 가까웠으나 점점 사이버전 및 사이버 테러를 위주로 활동하기 시작했다. 전문가들은 어떤 시점에서 이들이 이란 정부의 후원을 받기 시작했다고 추정하고 있다. 마이크로소프트 아웃룩, 웹 액세스 스푸핑 등을 통해 미국 국방부 및 여러 방위 산업체들을 공격한 사프란 로즈(Saffron Rose) 작전이 제일 유명하며, 그 후로 크라우드스트라이크(CrowdStrike)와 파이어아이(FireEye)라는 보안 기업들의 집중 추적을 받고 있다.

2. 유럽
Dragonfly, Energetic Bear 동유럽을 근거지로 삼아 활동하는 해킹 단체로 러시아의 보안 기업인 카스퍼스키가 제일 먼저 발견했다. 주로 에너지 산업을 노리는 공격을 하기 때문에 보통은 에너제틱 베어(Energetic Bear)라고 부르는데, 시만텍은 드래곤플라이(Dragonfly)라고 부른다. 정부 후원을 받는 해커들 중 스턱스넷 공격을 제외하고는 굉장히 높은 수준의 공격 기술을 선보이는 것이 특징이고, RAT, 피싱 이메일, 워터링홀 공격 등 사용하는 방법도 가지가지다. 심지어 정상 소프트웨어까지도 감염시켜 공격하는 것도 가능하다. 기술력이나 규모나 스턱스넷을 사용한 자들과 비견될 정도의 그룹이다.

APT28 러시아의 유명 해킹 단체로 러시아의 해커들이 그렇듯 자신을 감추는 데 특출함을 보인다. 보통 보안업계에서는 별 다른 이름을 붙일 수 없을 때 지능형 지속 공격(APT, Advanced Persistent Threat)을 주로 하는 단체라는 뜻의 APT에 번호를 붙여서 구분하는데, APT28의 이름이 계속 이런 기본 형태로 남아있다는 건 이들의 활동이 오래전부터 있어왔다는 뜻이기도 하고 별다른 흔적을 남기지 않았다는 뜻도 된다.

APT28은 2007년부터 활동한 것으로 보이며, 멀웨어의 활동 시간들이 러시아의 근무시간과 상당부분 겹친다. 또한 미국, 유럽 등 러시아와 정치적으로 부딪히는 국가와 조직들(그루지야나 NATO 등)을 공격한다. 물론 러시아는 이들의 배후에 있음을 부정하고 있다.

3. 미국
Tailored Access Operation(TAO) 미국 NSA가 운영한다고 주장되고 있는 해킹 단체로 스턱스넷 공격으로 인해 이란에서도 수준 높은 해킹 단체가 발족되자 그에 대응하기 위해 만들어진 것으로 보인다. 먼저 공격해놓고 보복 당할까봐 두려워 만든 단체인 것. 그러나 대규모로 미국 국민들의 통화 데이터를 수집하는 것이 스노우든을 통해 밝혀진 게 제일 유명하다.

첨단 IT 기업도 해킹할 정도로 수준이 높아 스노우든은 “그들은 뭐든지 뚫을 수 있다”고 설명할 정도다. 스노우든 사건 이후로 TAO 직원들은 링크드인에도 스스로의 프로파일을 올리는 등 별로 존재를 숨기려 하지 않고 있다.

Equation Group 가장 뛰어난 기술력을 가진 해킹 단체로 알려져 있으며 NSA와 밀접한 관련이 있는 것으로 보인다. 이 단체의 활동을 제일 먼저 발견한 카스퍼스키에 따르면 이퀘이젼 그룹은 고도로 암호화된 기술을 활용하고 있어 정체 파악이나 공격의 분석이 극도로 어렵고, 다년간 42개 국가에서 500개 이상의 멀웨어를 가지고 활동을 해왔다. 또한 스턱스넷과 비슷한 제로데이 공격을 하는 것으로 보아 스턱스넷 제작자와 이퀘이젼 그룹의 멤버들은 같거나 매우 가까운 관계에 있는 것으로 보인다. 많은 부분 베일에 싸여진 그룹이다.

4. 동아시아
Unit 61398/Comment Crew/Putter Panda/Deep Panda 중국의 해킹 그룹으로 맨디언트(Mandiant)가 2013년에 발견했다. Unit 61398은 중국 인민해방군 내 소속인 것으로 강하게 추정되고 있는데 그 이유는 이들이 실수로 노출시킨 IP가 상하이의 한 12층 건물로 나타나며, 이 건물에 드나드는 인물들이 인민해방군 소속의 주요 관리자들로 추정되며, 또한 이들의 멀웨어나 공격 세팅에서 중국어가 다수 발견되고 있기 때문이다. 이들은 영어를 모국어로 쓰는 국가의 141개 조직에서 수백 테라바이트의 정보를 여태껏 탈취해왔다.

Axiom 액시엄은 중국의 단체일 가능성이 가장 높으나 아직 정확히는 파악하지 못하고 있다. 여태껏 비트나인(Bit9), 마이크로소프트, 시만텍, 쓰레트커넥트(ThreatConnect), 볼렉시티(Volexity) 등의 전문기업들이 이들의 행적을 발견하거나 뒤를 쫓은 적이 있다. 중국과 적대관계에 놓인 기업들이나 정치적인 조직들을 주로 타격해왔으며, 2010년 구글을 공격한 가장 유력한 용의자로 꼽힌다. 인민해방군 소속 해킹 부대의 하위 조직이라고 보는 전문가들도 있다. 기초적인 멀웨어부터 고급 해킹 공격까지 다양한 기술을 구사한다.

Bureau 121 북한의 해킹 단체로 알려져 있는 뷰로 121은 지난 해 가디언스 오브 에인절스(Guardians of Angels)라는 단체가 소니 픽처스(Sony Pictures)를 공격하면서 북한의 해킹 능력이 전 세계적인 주목을 받음에 따라 여러 보안 전문 기관들이 추적하면서 드러났다. 2013년 있었던 다크 서울(Dark Seoul) 작전도 이들의 소행이라고 보는 게 중론이다. 탈북자 장세열 씨가 로이터 통신을 통해 자신이 해킹을 위주로 활동하는 이들과 함께한 적이 있다고 증언하면서 실체가 더욱 확실해진 바 있다.

Hidden Lynx 2013년에 갑자기 두각을 나타낸 중국의 해킹 단체인 히든 링스는 약 50~100명 정도로 구성된 것으로 보인다. 뛰어난 해킹 기술을 선보이고 스킬 스펙트럼도 넓지만 워터링홀 공격이 단연 돋보인다. 미국, 중국, 대만, 한국 등을 주로 공격해왔으며 보안 업계 사이에서는 ‘헐리웃 영화에 나오는 용병집단 같다’는 평이 있을 정도로 신출귀몰하고 뛰어나다.

Network Crack Program Hacker Group 위키드 로즈(Wicked Rose)라는 이름을 사용하는 탠 데일린(Tan Dailin)이라는 인물이 1994년 중국 쓰촨성에서 만든 핵티비스트 그룹. 처음에는 중국 내 여러 해킹 관련 웹 사이트들을 공격한 것에 그치는 등 중국 내에서 경쟁하는 여러 해킹 동아리 중 하나라는 느낌이 강했는데 갈수록 기술력이 발달하면서 2006년 탠 데일린이 직접 개발한 긴우이(GinWui) 룻킷을 가지고 미국 국방부를 공격하면서 세계적인 주목을 받기 시작했다. 해킹을 연구하던 학생들이 어느 시점에 중공군에 소속된 것으로 보인다. 탠 데일린은 자신의 블로그에 ‘유급 활동’임을 밝힌바 있으나 후원자가 누구인지는 아직도 불투명하다.

자신의 이상을 위해 싸우는 해킹 전문 단체들
\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

1. 유럽
Chaos Computer Club(CCC) 유럽에서 가장 큰 규모를 자랑하는 해킹 커뮤니티다. 독일 베를린에서 1981년 9월 12일에 탄생했으며 전성기 때는 약 3,000명의 멤버 수를 자랑하기도 했다. 해킹을 하나의 문화로 자리 잡게 하려고 했으며, 그 핵심 가치에 정부 검열로부터의 자유가 있었다. ‘해킹=자유’라는 느낌을 해커들 사이에 형성한 데 가장 큰 역할을 한 것으로 분석된다. 1980년대 초부터 대대적인 행사를 여는 등 양지에서 활동을 했고, 유명 기관이나 업체의 보안망을 뚫고 들어가 ‘보안 구멍’을 알려주면서 ‘보안을 돕는다’라는 스탠스를 취하기도 했다. 독일은행에서 13만 4,000 도이치 마르크를 해킹으로 훔친 뒤 하루 만에 그대로 돌려준 사건이 유명하다. 스노우든 사건 이후에는 정부의 감시에 대항하는 데 주력한다.

Lizard Squad 유럽에서 주로 활동하는 해킹 단체로 핵티비스트와 사이버전 수행 그룹 사이의 미묘한 경계선에 놓여있다. 주로 트위치, 플레이스테이션 네트워크, 배틀넷, 리그오브레전드 등 유명한 게임사를 공격하는데, ISIS와의 커넥션이 의심되는 정황이 발견되기도 한다. 또한 인스타그램, 틴더(Tinder), 바티칸, 말레이시아 공항도 공격하고, 소니 온라인 엔터테인먼트의 회장이 타고 있던 비행기를 추락시키겠다는 협박을 하는 등 이들의 목적이나 지향점 등은 굉장히 모호한 상태로 남아있다. 현재는 활동을 멈춘 상태다.

eaMp0isoN 팀포이즌은 16세 해커인 ‘Trick’이 2010년 결성한 해킹 단체인데, 표적은 나이와 전혀 어울리지 않는 UN, NASA, NATO, 페이스북 등이었다. 그밖에 블랙베리의 제조사인 RIM(Research in Motion) 등 세계적인 대기업들과 정부기관들 역시 이들의 공격목표가 되었다. 특히 토니 블레어 전 영국 총리의 이메일을 해킹한 것으로 유명하다. 2012년 주요 멤버들이 체포되면서 해산됐다.

2. 미국
Anoymous 미국의 초거대 커뮤니티인 4Chan에서 발생했으며 정확한 탄생년도는 알려진 바 없으나 2008년부터 세상에 존재감을 나타내기 시작했다. 위키리크스(Wikileaks)나 점거운동(Occupy Movement) 등을 지지하는 등 굉장히 아나키스트적인 면모를 보인다. 심벌도 그 유명한 가이 포크스(Guy Fawkes) 마스크로, 2012년에는 타임지가 선정한 가장 영향력 있는 인물 100에 뽑히기도 했다.

어나니머스 출신이지만 훗날 FBI를 돕는 것으로 노선을 바꾼 헥터 모네스구르(Hector Monesgur)는 “함께하면 뭐든 할 수 있다는 하나의 관념 그 자체가 어나니머스”라고 표현하기도 했다. 반정부적이면서 좌파적인 특성상 당연히 우파적인 면모를 가지고 있는 정부 후원 해커들과 대립한다.

Global kOS 글로벌 케이오스라고 읽는다. 전 세계적인 혼돈을 주도하겠다고 붙인 이름인데 이들의 업적이라고 하면 자동 해킹툴을 인터넷 곳곳에 배포하고 전파한 것이다. 해당 툴의 이름은 업 요스(Up Yours)라고, 번역하자면 ‘엿 먹어라’와 비슷하다. 이 툴을 활용한 해커들이 40여명의 정치인 웹 사이트를 다운시켰고, MTV 등의 방송국도 피해를 입었다. 또, 극우 단체인 KKK의 해킹도 감행했다. 그밖에 케이오스 크랙(kOS crack), 배틀퐁(BattlePong)과 같은 툴도 만들어 배포했다.

Lulzsec(Lulz Security) 어나니머스와 가장 비슷하며 심지어 어나니머스의 스핀오프가 아니냐 하는 분석도 있다. 유명한 게임인 마인크래프트(Minecraft)와 게임사인 베데스다(Bethesda), 감시 프로그램인 핀피셔(FinFisher)를 해킹한 것으로 유명세를 얻기 시작했는데, 영국의 조직범죄기구인 SOCA와 정부부처 사이트인 senate.gov를 공격해 사용자 이메일과 암호를 유출시키기도 했다(2013년). 그러면서 FBI, CIA, X-Factor, Fox.com을 공격하는 등 활동 범위를 넓히다가 위에서 언급한 헥터 모네스구르와 FBI의 공조로 주요 멤버가 모조리 체포되면서 활동이 멈췄다. 이들의 슬로건은 “당신의 보안을 비웃는다, 2011년부터(Laughing at Your Security, Since 2011)”였다.

The Level Seven Crew 단테의 신곡에 등장하는 7층 지옥에 영감을 받아 지은 이름인 레벨 세븐 크루는 굉장히 오래된 단체로 1999년 NASA, 쉐라톤 호텔, 퍼스트 아메리칸 내셔널 뱅크(First American National Bank) 등 60개 조직으로부터 각 1기가가 넘는 정보를 빼낸 것으로 유명해졌다. 모로코 도메인을 처음 해킹한 단체로 알려져 있으며, 2000년 FBI의 체포로 공식 해체했다.

Milw0rm 1998년 정도 나타난 이 단체는 첫 표적을 바바 아토믹 리서치(Bhabha Atomic Research)라는 인도의 핵 연구 센터로 삼았다. 당시 기밀 파일을 5MB 정도 훔치고 서버에서는 데이터를 삭제하면서 핵 반대 메시지가 나타나도록 했다. 그밖에 윔블던(Wimbledon) 테니스 대회 웹 사이트, 피파 공식 사이트, 영화배우 드류 베리모어(Drew Barrymore)의 개인 웹 사이트, 사우디 왕족들의 웹 사이트 등을 해킹해 핵에 반대한다는 메시지를 전파했다. 핵에 반대하기 위해 활동하는 핵티비스트들이다.

Crackas with Attitude(CWA) 가장 최근에 출현한 핵티비스트로 CIA 국장의 AOL 이메일 계정, 국토방위부 장관의 콤캐스트 계정 등을 해킹해 정보를 다량 유출시켰다. Cracka라는 이름으로 트위터 계정을 운영 중에 있으며 스스로를 미국의 고등학생이라고 밝히고 있다. CWA는 미국의 외교정책에 반대하는 듯 하며, 특히 팔레스타인을 지지하는 것으로 알려져 있다. 하지만 정보기관을 건드린 해커들이 전부 어느 시점에서는 잡힌 것으로 보아 CWA의 수명도 시한부인 것으로 보인다. 현재 FBI가 수사 중에 있다.

[글 시큐리티월드 국제부 문가용 기자(sw@infothe.com)]

[월간 시큐리티월드 통권 227호 (sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>