이리디움이라는 해킹 단체가 범인인 것으로 보여...이란과 연관성 있어
의회 구성원들 전원 비밀번호 변경해...그 정도로 컸던 사건

[보안뉴스 문가용 기자] 얼마 전 호주 의회를 겨냥한 사이버 공격에 대해 호주의 모리슨 총리는 “사이버전을 벌이는 해외 정부의 소행”이라고 언급한 바 있다. 그리고 최근 강력한 용의자로 이란 정부가 떠올랐다.


호주 의회를 공격한 것으로 보이는 건 이리디움(Iridium)이라는 해킹 단체라고 보안 업체 리시큐리티(Resecurity)가 발표했다. 리시큐리티는 최근 보고서를 통해 이리디움이라는 단체를 상세하게 밝혔다. 물론 이리디움이 이란 정부와 커넥션을 가지고 있는 단체라고 직접적으로 단언하지는 않았지만, 둘을 연결시킬 충분한 상황 증거를 제기했다.

호주 의회를 겨냥한 공격은 2018년 12월 23일에 시작했다. 당시 정부 기관 두 곳이 뚫렸고, 이를 바탕으로 2단계로 구성된 공격이 2019년 1월과 2월에 발생했다. 리시큐리티에 의하면 “1단계 공격은 윈도우 기반의 서버 사이드 환경을 주로 노리는 것이었고, 2월에 발생한 2단계 공격은 표적화된 이메일 침해 공격이었다”고 한다.

“2단계 공격은 호주 정부의 ‘세계 접근 목록(Global Access List)’을 통하여 이뤄졌는데, 바로 이 목록을 통해 중요한 힌트를 얻어낼 수 있었습니다. 특히 이리디움이 사용한 것으로 확인된 파일 내에 이 목록이 있었다는 게 중요한 단서가 됐죠.” 리시큐리티의 설명이다.

“이 접근 목록에 있는 정보가 사용되었다는 건 이메일 침해가 성공적으로 이뤄졌다는 것에 대한 중요한 증거가 됩니다. 왜냐하면 이 정보를 사용했다는 건 의회 서버에 등록된 계정 최소 한 개를 해킹해 들어갔다는 뜻이 되기 때문입니다. 최초 접근에 성공해 네트워크에 들어오는 데 성공한 공격자들은 추가 도구를 써서 공격을 실시했는데, 이 툴이 이리디움 고유의 것입니다. 여기에 더해 다크웹 등을 통해 누구나 구매가 가능한 백도어와 웹셸 등도 사용됐습니다.”

리시큐리티는 조사를 통해 이리디움을 가리키는 여러 가지 증거와, 이리디움에 관한 내용을 모을 수 있었다. “이리디움은 해외 정치인 및 정치 기관을 주로 겨냥해 활동해 온 첩보 기관 혹은 그 첩보 기관과 관련이 있는 단체입니다. 또한 국제 무대에서 이란이 불리한 위치에 몰리는 큰 사건이 발생할 때마다 활동량이 크게 늘어납니다. 예를 들어 미국이 이란 핵 협상에서 빠졌을 때, 활동양이 높아졌습니다. 호주는 이란 핵 협상에 서명한 국가는 아니지만, 호주-이스라엘의 우호적인 관계 수립 70주년을 맞아 이란에 대한 공개적 지지를 철회하려는 움직임을 작년에 봉니 바 있습니다.”

또한 이리디움은 ‘다섯 개의 눈(Five Eyes)’이라고 불리는 국가들의 첩보 기관과 민감한 외교 및 정치 기관들을 겨냥한 공격도 자주 실시하는 편이라고 한다. 이 국가들은 호주, 캐나다, 뉴질랜드, 영국, 미국이다.

그러나 이리디움은 여러 국적의 인물들로 구성된 단체인 것이 유력해 보인다. “이란인, 시리아인, 레바논인, 팔레스타인, 그리고 돈을 주고 고용된 다양한 용병들이 이리디움 내에서 활동하고 있습니다. 그렇기 때문에 공격자를 정확하게 지목하는 게 어려워집니다.”

또 리시큐리티는 이란혁명군과 관련이 있는 것으로 알려져 있는 해킹 부대인 마브나 해커스(Mabna Hackers) 등이 과거 공격에 사용했던 도구, 기술, 절차가 흡사하다고도 지적했다. 마브나 해커스는 작년 22개국 320개 대학을 공격한 것으로 알려져 있다.

한편 이번 사건 이후로 호주 의회에 소속된 모든 구성원들이 계정 비밀번호를 바꿨다고 한다. 항간에는 “정치인들이 비밀번호를 바꾸게 할 정도라면, 정말 큰 사건이었음이 분명하다”라는 이야기도 농담처럼 나오고 있다.

3줄 요약
1. 올해 초 발생했던 호주 의회 해킹 사건, 범인은 이리디움이 유력.
2. 여러 가지 정황을 봤을 때 이리디움은 이란 정부와 관련이 깊어 보임.
3. 호주 의회 구성원은 이 일 이후에 비밀번호 전부 바꿈.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>