소파시, 북미와 유럽의 외교 기관 공격...하지만 단정짓기 힘들어
범인을 명확하게 찾아낼 수 없다는 것이 사이버전 북돋아

[보안뉴스 문가용 기자] 러시아의 APT 그룹인 소파시(Sofacy)가 지난 달 북미와 유럽의 외교 기관을 공격했다고, 사이버 보안 업체인 팔로알토 네트웍스(Palo Alto Networks)가 발표했다. 하지만 정확한 국가명은 밝혀지지 않았다.


이와는 별개로 독일의 내무부와 국방부도 최근 사이버 공격에 당했다고 발표한 바 있다. 소파시는 APT28, 팬시 베어(Fancy Bear), 스트론티움(Strontium), 세드닛(Sednit), 차르 팀(Tsar Team), 폰스톰(Pawn Storm)이라고도 불리며, 러시아 정부의 후원을 받고 있는 것으로 여겨지고 있다.

발표 당시 독일 내무부 대변인은 BBC를 통해 “최근 독일 연방 정부의 정보 기술 및 네트워크를 겨낭한 사이버 보안 사건이 일어났고, 이에 따라 연방정보보안국(BSI)가 수사를 시작했다”고 밝혔다. 또한 “공격은 완화됐다”고도 발표했다. 당시 러시아와 관련된 언급은 일절 없었다.

한편 팔로알토 네트웍스는 소파시를 계속해서 추적해왔다고 2월 28일 블로그를 통해 밝혔다. “소파시가 산업을 불문하고 여러 나라에서 지속적인 공격을 감행해왔기 때문입니다.” 또 다른 보안 업체 에프시큐어(F-Secure)의 수석 보안 컨설턴트인 톰 반 더 위엘(Tom Van de Wiele)은 “정부를 겨냥한 공격에는 일정한 패턴이 있지만, 공격자들이 워낙에 유리한 전장이라 항상 똑같은 일이 반복된다”고 말한다.

2월 초, 팔로알토는 소파시가 두 가지 캠페인을 진행하는 것을 알고 추적을 시작했다고 한다. 당시 소파시는 전 세계 외교 관련 조직들을 광범위하게 공격하고 있었는데, 캠페인마다 각각 전혀 다른 툴들이 사용되었다고 팔로알토는 발표했다. “런던의 정보 서비스 업체인 IHM 마킷(IHS Markit)에서 온 것과 같은 이메일 뉴스레터로 피싱 공격을 하는 캠페인이 있었습니다.”

IHM 마킷을 위장한 캠페인 공격의 경우 악성 매크로가 포함된 엑셀 문서가 첨부되어 있었다. 사용자가 매크로를 활성화시킬 경우, 문서 내 있던 매크로가 실행되며 폰트 색깔이 바뀌기 시작한다. 팔로알토는 악성 문서를 생성하는 멀웨어인 럭키스트라이크(Luckstrike)와 소파시가 사용한 툴이 매우 닮아있거나, 연관성이 짙을 것이라고 보고 있다.

팔로알토는 WHOIS 아티팩트를 사용하고, IP 재활용, 도메인 이름 테마도 비슷비슷하다고 설명한다. 즉 소파시의 공격 패턴이 크게 변하지 않고 있다는 것이다. “소파시에 대한 첩보가 이미 세상에 널리 공개되어 있는데도 소파시의 공격이 계속해서 성공하고 있다는 건 시사하는 바가 많습니다.”

하지만 에프시큐어의 반 더 위엘은 “공격에 필요한 툴이며 인재, 시간, 돈 등 필요한 자원이 풍부한 시대에 특정 공격 행위에 대해 누군가를 지목한다는 건 쉬운 일이 아니다”라고 주의를 환기시킨다. “공격자 파악도 힘든데, 그 공격을 누군가 후원했다고 결론 내리는 건 도박과 같습니다.”

그렇다고 반 더 위엘이 러시아를 옹호하는 건 아니다. “이렇게 누군가를 범인이라고 단정지을 수 없다는 점 때문에 사이버 공격과 사이버 스파이 행위가 성행하는 것이죠. 지금 진행되고 있는 사이버전 행위들을 근절시키려면 이러한 근본적인 문제부터 해결해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>