평창올림픽 당시 개막식에서 기술 오류 일으켰던 멀웨어
러시아 금융 기관과 유럽의 생화학 관련 단체 공격해

[보안뉴스 문가용 기자] 2018년 평창 동계올림픽의 개막식에서부터 등장했던 올림픽디스트로이어(Olympic Destroyer)라는 멀웨어가 폐회식이 끝나고도 한참 뒤에 다시 나타났다. 주요 공격 대상은 유럽의 금융 및 생화학 산업이라고 한다.


먼저 올림픽 디스트로이어는 ‘파괴형 네트워크 웜’으로 분류된다. 네트워크에 침투해 드라이브 일부 내용을 삭제하는 기능을 가진 것으로, 지난 올림픽 개막식 때 일부 기술적인 문제를 일으키기도 했다. 또한 PsExec와 WMI를 활용해 네트워크 내에서 횡적으로 움직이기도 한다. 이는 배드래빗(BadRabbit)이나 낫페트야(NotPetya) 공격에서 발견된 기법이기도 하다.

최근 올림픽 디스트로이어를 발견한 보안 업체 카스퍼스키(Kaspersky)의 커트 봄가트너(Kurt Baumgartner)는 “이런 식의 파괴형 멀웨어가 일반적인 공격에 등장하는 건 흔치 않은 일”이라며 이 사건을 예의주시하고 있음을 시사했다. “해킹 공격은 주로 금전적인 목적을 가지고 실시되는 것인데, 파괴형 멀웨어로는 돈을 뜯어내기가 힘듭니다. 말 그대로 ‘해코지’ 그 자체를 위한 것이죠.”

실제로 카스퍼스키는 이번 올림픽디스트로이어 공격자들의 목적이 ‘금전적’이기도 하지만 ‘방해’ 및 ‘혼란 야기’인 것으로 보고 있다. 그렇다고 금전적인 목적이 완전히 사라지는 것은 아니다.

카스퍼스키는 올림픽이 끝난 이후에도 올림픽디스트로이어에 대한 추적을 계속 진행했다. 하지만 공격이 한 동안 중단된 듯이 보였기 때문에 큰 성과는 없었다. 그러다가 5월과 6월 새로운 스피어피싱 공격에 수상한 첨부 파일이 있는 것을 발견했다. 올림픽디스트로이어와 닮았다. 파일을 분석하고, 공격 전략 및 수법을 조사해본 결과 평창을 공격했던 바로 그 자들이라는 결론에 다다를 수 있었다.

“공격자들은 자신들의 인프라를 보호하기 위해 매우 조심스럽게 행동합니다. 또한 멀웨어를 개발하고 사용하는 것과 흔적을 관리하는 데에 있어서도 교묘한 모습을 보입니다. 그래서 우리 같은 추적자들이 엉뚱한 APT 그룹을 조사하도록 해놓죠.” 봄가트너의 설명이다.

“올림픽디스트로이어 공격자들은 넌바이너리 실행파일을 사용해 기기를 감염시킵니다. 그리고 스크립트에 난독화 기술을 입혀 탐지를 피합니다. 스피어피싱 공격 시 사용하는 내용은 대단히 정교하게 만들어져 있는데요, 이런 모든 특징들은 지난 2월 올림픽 당시에 저희가 목격했던 것들입니다.”

그 때와 지금, 한 가지 바뀐 것이 있다면 공격 목표다. “이번에 새롭게 등장한 올림픽디스트로이어는 러시아의 금융 조직들을 노리고 있고, 유럽과 우크라이나의 생화학 위협 방지를 연구하는 단체들을 공격하고 있습니다. 이메일 제목, 첨부된 파일의 이름, 첨부 파일의 내용 등을 미뤄 유추한 것입니다.”

카스퍼스키가 확보한 이메일 중 일부에서는 ‘슈피츠 컨버전스(Spiez Convergence)’라는 제목이 발견됐다. 이는 슈피츠 연구실에서 주관하는 생화학 관련 국제 컨퍼런스다. 러시아어로 작성된 메일도 있었고 독일어도 찾아낼 수 있었다. 봄가트너는 “슈피츠 컨버전스에 참여하는 주체들에는 평창올림픽 당시 공격을 받은 파트너사들도 포함되어 있다”며 “2월에 있었던 공격의 연장선으로 볼 여지가 충분하다”고 말한다. “그러나 러시아 금융 기관에 대한 공격은 다소 엉뚱합니다.”

한 가지 가능성은 올림픽디스트로이어 공격자들이 외부 용병을 끌어다 쓴다는 것이다. 그렇다고 한다면 유럽의 조직들에 대한 공격을 진행하면서 한편으로는 돈이 궁해졌다고 볼 수 있다. 또 다른 가능성은 올림픽디스트로이어 멀웨어가 이미 범죄자들 사이에서 널리 퍼졌다는 것이다. 그래서 전혀 엉뚱한 그룹이 러시아 기관들을 공격하고 있는 것이지만 같은 그룹의 소행으로 보일 수 있다고 한다. 그러나 봄가트너는 “두 번째 시나리오의 가능성은 낮다”고 말한다.

또한 생화학 관련 단체들을 파괴형 멀웨어로 공격하고 있다는 것 역시 그 이유를 쉽게 짐작하지 못하게 한다. “이 경우는 공격의 목적이 돈에 있다고 볼 수 없습니다. 생화학 관련 연구를 방해하거나 정찰하기 위한 것으로 보입니다.”

하지만 봄가트너는 올림픽디스트로이어의 다른 면에 흥미를 느낀다고 한다. “자신들의 흔적을 감추고, 또 다른 단체인 것처럼 위장하는 데에 도가 텄다는 겁니다. 그래서 아직 올림픽디스트로이어 공격자가 누구인지 아무도 모릅니다. 평창 때만 해도 이들이 북한이다, 러시아다 말들이 많았지만 지금은 ‘모르겠다’가 정설로 남아있습니다.”

일부 전문가들은 올림픽디스트로이어의 코드가 중국 APT 단체들과 유사하다며, 중국을 배후 세력으로 꼽는다. 북한의 라자루스 그룹(Lazarus Group)이 물망에 오르기도 했고, 낫페트야나 배드래빗의 코드와도 유사성이 발견되기도 했다. 그렇다면 러시아가 유력한 공격자로 꼽힌다.

카스퍼스키 랩은 “이들의 공격 전략이 소파시(Sofacy)의 그것과 유사하다”고 말한다. 소파시 역시 러시아의 단체인 것으로 알려져 있다. “그러나 소파시와의 관계성에 대해 강한 자신감을 가지고 있지는 않습니다. 신분 세탁을 잘 하는 단체라는 걸 감안한다면 그 누구도 용의자가 될 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>