오일리그의 제이슨 툴, 소스코드까지 공개돼...간단한 브루트포스 도구
2015년 컴파일 됐지만, 아직 탐지율 0%...오일리그에 대한 방어력 증가 효과

[보안뉴스 문가용 기자] 이란 정부와 관련이 있는 사이버 정찰 단체인 오일리그(OilRig)가 사용하는 것으로 보이는 해킹 도구의 소스코드가 다시 한 번 온라인으로 공개됐다. 또한 오일리그가 피해자들로부터 훔쳤다는 데이터도 같이 공개됐다.


오일리그는 APT34라고도 알려진 단체로, 최소 2014년부터 활동해왔으며, 이란 정부의 지원을 받고 있는 것으로 보인다. 그 동안 주로 중동에 있는 금융 산업, 정부 기관, 에너지 분야, 통신 사업자, 화학 산업들을 노려왔다.

그런데 지난 3월, 텔레그램(Telegram)에 새롭게 랩 두크테간(Lab Dookhtegan)이라는 채널이 생겼다. 랩 두크테칸은 “내 입술을(입 모양을) 읽어라”라는 뜻인데, 이 채널을 통해 오일리그가 사용하는 각종 도구들과 오일리그의 내부 사정이 담긴 정보들이 유출되기 시작했다. 오일리그가 공격에 주로 사용하는 IP 주소들과 도메인 이름도 공개됐다.

지난 주 랩 두크테칸 채널 운영자는 다시 한 번 민감한 정보를 공개했다. 일명 ‘제이슨(Jason)’에 관한 것이었다. 제이슨 역시 오일리그가 사용하는 것으로 보이는 공격 도구로, 이메일 계정 침해와 비밀번호를 훔치는 데 주로 사용되는 것이라고 한다.

이를 입수해 조사한 보안 전문가 옴리 세게브 모얄(Omri Segev Moyal)은 자신의 블로그를 통해 “온라인 이메일 서비스 등에 활용할 수 있는 간단한 브루트포스 공격 도구”라고 설명하기도 했다.

제이슨은 랩 두크테간에 공개되고서 얼마 지나지 않아 바이러스토탈(VirusTotal)에도 업로드 됐다. 6월 3일 월요일 기준으로 아직까지 탐지율 0%를 기록하고 있다. 제이슨의 컴파일링 시기는 2015년으로 보인다.

이렇게 오일리그의 공격 도구 정보가 꾸준히 유출됨에 따라 보안 전문가들은 오일리그의 공격을 방어하는 데 있어 유리한 고지를 선점할 수 있을 것으로 보인다. 무엇보다 제이슨처럼 수년 간 탐지하는 데 실패했던 도구를 앞으로는 탐지해낼 수 있게 된다. 이런 성과가 누적되면 오일리그의 공격 시도 자체를 무산시킬 수도 있을 것으로 보인다.

물론 그런 최상의 시나리오가 쉽게 이뤄지는 건 아니다. 국가의 지원을 받는 해커들은 자원이 충분하기 때문에 한 번 발각된 도구나 전략에 대해 큰 미련을 갖지 않기 때문이다. 그들은 얼마든지 도구와 수법을 바꿀 수 있다고 모얄은 경고했다.

3줄 요약
1. 텔레그램 채널 ‘랩 두크테간’, 다시 한 번 오일리그 공격 도구 공개.
2. 이번에 공개된 건 제이슨. 이메일 침해하고 비밀번호 훔쳐내는 브루트포스 공격 툴.
3. 툴 공개 꾸준히 이뤄지면 오일리그의 작전 수행에 커다란 차질 생길 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>