아이보리코스트에 특히 공격 많이 해...그 외 카메론, 콩고, 가나 등에도
공격자 정체는 아직 알 수 없어...흔히 구할 수 있는 툴만 사용했기 때문

[보안뉴스 문가용 기자] 서부 아프리카 지역의 금융 조직들을 겨냥한 사이버 공격이 2017년 중반부터 지금까지 이어지고 있음을 보안 업체 시만텍(Symantec)이 발견했다. 공격자들은 흔히 구매가 가능한 멀웨어들을 사용해 아이보리코스트, 카메룬, 콩고, 가나, 적도기니를 공격했다. 하지만 공격자의 정체는 아직 오리무중이다.


이 국가들에서 총 4개 유형의 공격들이 여태까지 있어왔다. 아이보리코스트와 적도기니의 금융 기관 및 조직들은 나노코어(NanoCore)라는 트로이목마로 감염이 됐고, 정상적인 PsExec 툴까지 사용되는 것이 목격됐다. 공격자들은 서부 아프리카에서 운영되고 있는 한 은행과 관련된 미끼 문건을 통해 피해자들을 낚았다. 공격 진행 과정 중 2017년 스위프트(SWIFT) 공격과 비슷한 점이 있어 전문가들은 사기성 송금을 위한 발판을 공격자들이 마련하고 있는 것으로 의심하고 있다.

2017년 후반에는 또 다른 유형의 공격이 발견됐다. 아이보리코스트, 가나, 콩고, 카메론의 금융 조직들이 표적이 됐다. 파워셸 스크립트들이 주력으로 사용됐고, 여기에 더해 미미캐츠(Mimikatz)라는 크리덴셜 탈취 도구도 쓰였다. 오픈소스 원격 관리 툴인 울트라VNC(UltraVNC)와 침투 테스트 툴인 코발트 스트라이크(Cobalt Strike)가 설치되는 경우도 있었다.

세 번째 유형의 공격은 아이보리코스트에서만 발견됐다. 그러니까 아이보리코스트는 연속 두 번의 대규모 공격에 당한 것이다. 이 세 번째 공격에서 사용된 건 RMS(Remote Manipulator System)라는 원격 제어 툴이었다. 미미캐츠와 두 개의 원격 데스크톱 프로토콜 관련 툴들도 같이 사용됐다. “미미캐츠와 RDP 툴들은 크리덴셜을 수집하고 원격 연결을 지원합니다. 이를 보건데 범인들은 횡적인 움직임을 시도한 것으로 보입니다.”

네 번째 공격은 2018년 12월부터 시작됐다. 이번에도 표적은 아이보리코스트의 금융 조직들이었다. 이 때는 이미넌트 모니터(Imminent Monitor)라는, 아무나 구매할 수 있는 원격 제어 툴이었다.

이렇게 여러 번의 공격을 발견하고 분석했지만 시만텍은 아직까지 공격자의 정체를 알아낼 수는 없었다고 한다. 즉 한 개의 사이버 범죄 단체가 한 짓인지 여러 단체가 각자의 공격을 독립적으로 실행한 것인지 알 수가 없었다고 한다. “하지만 툴과 전략에 있어서 겹치는 부분이 있습니다. 공격에 사용된 툴들이 암시장에서 널리 판매되고 있는, 정형화된 솔루션이라는 점, 컴퓨터에 이미 존재하는 툴들을 사용한다는 점에서 말입니다.”

현재 사이버 공격자들이 주둔하는 지하 암시장에는 각종 해킹 툴들이 넘쳐나고 있다. 그러므로 공격자들은 실력에 상관없이 비슷비슷한 공격을 실시할 수 있다. “또한 누구나 구할 수 있는 툴이기에, 누구나 공격자가 될 수 있다는 점도 공격자들에게 유리하게 작용합니다. 범인을 잡을 수 없거든요. 그래서 현대 사이버 공격에서 범인 찾기는 더 어려워지고 있는 상태입니다.” 시만텍의 설명이다.

3줄 요약
1. 서부 아프리카의 여러 금융 기관에서 2017년 중반부터 사이버 공격 벌어짐.
2. 흔히 구할 수 있는 공격 툴을 사용했기 때문에 공격자 파악하기 어려움.
3. 하지만 전략과 툴의 사용에 있어 겹치는 부분 있어 ‘한 단체’의 소행으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>