• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

트럼프-푸틴 회담 당시, 핀란드 겨냥한 사이버 공격 급증 2018.07.20

지난 북미 회담 때 싱가포르 겨냥한 공격 급증한 것과 비슷
사물인터넷 노려...“이제 위장 진입해 도청장치 설치 할 필요 없어”

[보안뉴스 문가용 기자] 트럼프 대통령과 푸틴 대통령이 헬싱키에서 회담을 하는 동안 엄청난 사이버 공격이 진행된 것으로 밝혀졌다. 지난 6월 싱가포르에서 열린 북미회담 당시와 비슷한 상황이다.

[이미지 = iclickart]


공격 수법도 비슷했다. 보안 장치가 제대로 도입되지 않은 사물인터넷 장비들을 통해 핀란드 내 주요 표적들에 대한 스파잉을 실시한 것이다. 차이점이 있다면 이번 공격의 진원지가 대부분 중국의 네트워크였다. 지난 싱가포르에서의 공격은 러시아에서 출발한 것들이 많았다.

보안 업체 F5 네트웍스(F5 Networks)는 지난 6월 싱가포르에서의 사이버 공격을 제일 먼저 발표한 곳인데, 이번에도 핀란드에서 비슷한 사태가 발생했다고 발표했다. 두 대통령의 회담이 있기 수일 전부터 악성 트래픽이 급증했다는 것이었다.

싱가포르에서처럼 핀란드에서 탐지된 공격도 사물인터넷 장비들에서 주로 사용되고 있는 포트와 프로토콜을 겨냥하고 이뤄졌는데, 그 중 하나가 SIP 포트 5060이었다. 이는 VoIP 전화기와 영상 회담 시스템과 관련이 있는 것이다. 또 다른 포트는 SQL 포트 1433과 텔넷 포트 23이었다. 이 둘은 사물인터넷 장비의 원격 관리를 위한 것이다.

F5 네트웍스는 “이제 간첩들이나 각종 용병 스파이들이 배관공인 것처럼 변장하고 사무실에 들어가 도청 장치를 심을 필요가 없는 시대가 되었다”며 “이제는 아주 먼 곳에 마련된 책상에 앉아서 취약한 사물인터넷 기기들만 건드리면 되기 때문이다”라고 설명했다.

그러나 지난 싱가포르 공격과 이번 핀란드 공격 사이에는 몇 가지 차이점이 존재한다고도 말한다. “SIP 포트 5060의 경우 싱가포르 회담 당시 가장 많은 공격을 받았습니다. 그러나 핀란드 공격에서 가장 많이 노려진 건 SSH 포트 22였죠. 이건 원격 관리를 위한 포트입니다. 그 다음으로 많은 공격을 받은 건 SMB 포트 445였고요. 그 외에도 싱가포르 때에는 발생하지 않았던 HTTP 포트 80, MySQL 포트 3306, 포트 8090, RDP 포트 3389에 대한 공격도 이번에 발견됐습니다.”

이번 공격의 대상이 되었던 포트들은 인기가 높은 것들이라고 F5의 위협 분석가인 사라 보디(Sara Boddy)는 설명한다. “3306 등을 비롯해 여러 인기 높은 데이터베이스용 포트들과 TCP/9200과 같은 인기 높은 데이터 서비스에 대한 공격이 앞으로도 더 진행될 것이라고 봅니다. 또한 공격 그룹마다 선호하는 포트가 다 다르다는 특징도 흥미롭습니다. 러시아는 SIP를 주로 노리고 중국은 SSH를 주로 노린다는 건데, 그 이유를 좀 더 캐봐야 할 것 같습니다.”

또한 헬싱키에서의 공격을 감행한 건 중국만이 아니었다. 이탈리아와 독일에서도 꽤나 높은 공격 트래픽이 발생했다. 보통 이탈리아와 독일은 공격 트래픽 발생 순위가 13~14위쯤 되는데, 회담 준비 및 실제 회담 기간에는 4~7위를 기록했다고 한다. 오히려 미국에서 발생한 공격 트래픽이 조금 줄었는데, 그래도 2위를 기록했다. 러시아 해커들은 해당 기간에 조금 얌전하게 있었다.

공격 시기와 표적들을 봤을 때, 국가 지원 해커들만이 아니라 일반적인 사이버 범죄자들도 공격에 참여했다고 F5는 결론을 내리고 있다. “당연히 두 나라를 적대시 하는 국가의 정부 기관들도 공격에 참여했겠지만, 두 나라의 동맹국들도 공격을 실시했습니다. 또한 양 대표를 반대하는 핵티비스트들부터, 크게 한 몫 잡아보려는 범죄자들까지 뛰어들었습니다.”

이런 공격이 기업들과 별 상관이 없어 보일 수 있는데, “그렇지 않다”고 F5 네트웍스는 강조한다. “사물인터넷 등 인터넷과 연결이 된 인프라를 얼마나 공격자들이 쉽게 노리는지 이해해야 합니다. 마음만 먹으면 회사에 들어와 원하는 걸 할 수 있다는 것이죠. 기밀을 빼갈 수도 있고, 중요한 지불 정보를 훔쳐갈 수도 있죠. 심지어 사업 행위를 방해할 수도 있는 것이고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>