중국의 전성기 생각나게 하는 사이버전 활동량
중국과의 차이점이라면 보다 더 파괴적이라는 것

[보안뉴스 문가용 기자] 작년 보안 업체 파이어아이(FireEye)는 네 개의 APT 단체를 찾아내 이름을 붙였다. 그런데 그 중 세 개가 이란에서 탄생하거나 활동하는 그룹이었다.


파이어아이 내에서 사건 대응 서비스에 집중하는 사업부인 맨디언트(Mandiant)는 2017년 한 해 동안 이란발 사이버전 행위가 급증한 것을 계속해서 목격해왔다고 한다. 특히 사이버 스파이 행위가 크게 늘어났다. 표적이 된 인물이나 단체의 시스템에 수개월에서 수년까지 머무르며 정보를 탈취해 가는데 이는 그 동안 이란 해커들의 실력이 일취월장 했다는 걸 보여준다.

맨디언트의 부사장인 찰스 카르마칼(Charles Carmakal)은 이런 이란을 두고 “새로운 중국”이라고 표현한다. “예전엔 중국 해커들이 얼마나 극성이었던지 모든 주요 인물 및 단체라면 중국인 해커가 한 명씩 할당되어 있는 느낌이었습니다.” 그런데 지금은 이란 해커들이 이런 느낌을 준다는 것. “2017년은 여기를 둘러봐도 이란, 저기를 둘러봐도 이란이었습니다.”

다른 보안 연구 전문가나 조직들도 비슷한 말을 한다. 2011년 말에 등장해 2013년까지는 투박한 디도스 공격을 주로 하던 “초보자 APT 그룹”이 최근 들어 급성장을 했다고 말이다.

카르마칼은 “2012년 처음 이란 단체들을 추적했을 때는 학생들이나 아마추어들을 상대하는 기분이었다”고 한다. “실질적인 위협이 되는 스킬이라곤 거의 없는 이들이었습니다. 마치 어나니머스 같달까요. 디도스밖에 할 줄 모르는 것 같기도 했습니다. 지금은 차원이 다르게 변했고요.”

하지만 보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “이란이 기술적으로 급성장했다기보다는 사이버 공격용 무기를 보다 능숙하게 다루기 시작한 것뿐”이라고 말한다. “공격 기술 자체가 아니라 툴 다루는 게 익숙해진 것입니다. 즉 사용되는 무기는 이전과 크게 다를 바 없지만, 그걸 활용하는 방법에 발전이 있었던 것이라고 보입니다.”

이란의 공격자들은 2012년 중동의 두 대상을 겨냥해 샤문(Shamoon)이라는 데이터 파괴형 공격을 실시한 바 있다. 그 두 대상 중 하나는 사우디 아람코(Saudi Aramco)였고, 이 사건은 이란의 공격자들이 변하기 시작했다는 첫 번째 단서가 되었다. “게다가 지금 이란 핵 문제가 다시 불거지고 있죠. 상황이 이란에 유리한 방향으로 흐르지 않는다면, 아마도 이란 공격자들은 파괴적인 행위를 미국에 쏟아 부을 겁니다.” 메이어스의 예상이다.

기술이 는 것이든 툴 사용법이 는 것이든, 아무튼 맨디언트는 “이란의 사이버전 그룹을 이제는 다른 나라의 사이버전 단체와 동일하게 봐야 한다”는 입장이다. 이제 이들은 거의 모든 공격을 할 줄 알게 되었기 때문이다. “심지어 돈 주고 살 수 있는 멀웨어나 도구들을 사용하는 것만이 아니라 스스로의 멀웨어도 만들기 시작했습니다. 파괴하거나 디도스로 마비시키는 시끌벅적한 공격만 하는 게 아니라 조용히 필요한 걸 빼내갈 줄도 알게 되었고요.”

카르마칼은 “이미 이란은 서방 세계의 여러 조직들에 침투해 있다는 걸 보안 업계는 알고 있다”며 “이란 핵 문제를 자꾸만 들쑤시는 미국이 다음 차례가 될 것은 거의 분명해 보인다”고 전망한다. 메이어스와 의견이 일치하는 부분이다.

또 다른 보안 업체 카본 블랙(Carbon Black)의 CSO인 톰 켈러만(Tom Kellermann)도 비슷한 생각이다. “트럼프 대통령의 강력한 반이란 스탠스가 그들을 자극할 겁니다. 이란은 파괴적 행위를 할지도 몰라요. 게다가 이런 입장에 처한 나라가 하나 더 있죠. 북한이라고. 둘 다 얼마 전까지만 해도 제대로 된 해킹 실력을 갖지 못한 곳이었습니다만, 이제는 아닙니다. 오히려 세계에서 손꼽히는 사이버 위협 국가가 되었지요.”

이란은 언제고 파괴적인 행위를 할 수 있다는 위협감은 중국의 그것과는 차이가 있는 부분이다. “중국의 APT 단체들은 조용했어요. 정보와 지적재산을 집요하게 훔치긴 비도덕적인 일을 하긴 했지만, 파괴적이진 않았지요. 그렇다고 중국이나 이란 어느 쪽이 더 낫다고 말하기도 힘듭니다만.”

한편 파이어아이가 작년에 새롭게 발견하고 이름까지 붙인 APT 단체는 바로 APT35다. 다른 업체들은 뉴스캐스터(Newscaster)라고 부르기도 한다. 이들은 작년 초 한 에너지 산업 쪽 단체를 공격하다가 발견됐다. 추적 결과 주로 미국과 중동의 군사 관련 정보와 정치, 정부, 미디어, 에너지 국방, 엔지니어링, 통신 분야를 노리는 이란의 해커들이었다.

또한 APT35는 가짜 이력서가 첨부된 스피어피싱 이메일 기법을 주로 사용한다는 것도 발견됐다. 이 가짜 이력서에는 퓨피랫(PUPYRAT)이라는 백도어가 엠베디드 된 것이고, 이 백도어를 통해 공격자들은 브로크요크(BROKEYOLK)를 드롭시켰다. 브로크요크를 통해 공격자들은 크리덴셜을 훔칠 수 있었다.

카르마칼은 “중국의 APT 그룹들처럼 APT35도 기가바이트 단위의 정보를 훔쳤다”고 말한다. 하지만 아직까지 해당 정보를 어떻게 사용하고 있거나 사용할 계획인지는 알 수가 없다.

그 외에 파이어아이는 APT33과 APT34를 발견해 공식적으로 발표하기도 했었다. 둘 다 이란의 해킹 단체였다. APT32도 파이어아이가 작년에 이름을 붙인 단체로 오션 로터스(Ocean Lotus)라고 불리기도 하며, 베트남 그룹이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>