레진, 굉장히 오래된 고급 멀웨어...국가 기관이 개발하고 사용한 것으로 보여
최근 얀덱스 노린 공격에서도 레진 발견돼...용의자는 파이브 아이즈 국가들

[보안뉴스 문가용 기자] 서방 세계 정부 기관과 연루되어 있는 것으로 보이는 해커들이 러시아의 IT 대기업인 얀덱스(Yandex)의 시스템을 작년에 침해했다는 사실이 드러났다. 당시 사용된 멀웨어는 레진(Regin)의 일종이었다고 한다.


로이터의 보도에 의하면 침해가 발생한 건 2018년 10월과 11월 사이라고 한다. 얀덱스의 R&D 관련 부서를 표적으로 했었고, 얀덱스가 가진 사용자 인증 기술을 훔치는 것이 목적이었던 것으로 보인다. 이 기술을 확보함으로써 공격자들은 얀덱스의 일반 사용자인 것처럼 위장해 비밀 메시지들을 훔쳐내는 것이 궁극적인 목표였을 것으로 의심된다.

로이터는 공격자들이 얀덱스의 네트워크에 수주 동안 머물로 있다가 겨우 발각되었다고 보도했는데, 얀덱스는 대변인을 통해 “초기 단계에 탐지하는 데 성공했다”고 주장했다. 그러면서 “피해가 발생하기 전에 무력화시켰고, 사용자 데이터가 침해되기 전에 사건을 막았다”고도 덧붙였다.

이 공격에 활용된 것은 레진(Regin)이라는 멀웨어인데, 레진은 전 세계 다양한 조직들을 대상으로 2008년부터 활용되어 온 것으로 알려져 있다. 최초로 발견된 것은 2014년이며, 당시 발견자는 시만텍(Symantec)이었다.

고급 멀웨어였기 때문에 처음부터 국가 기관이 개발한 것이라는 의심을 받았고, 영국과 미국이 언급됐었다. 영국의 GCHQ가 실시했다고 여겨지는 벨기에 통신사 공격에서도 레진이 발견된 바 있다. 레진이 처음 발견되었을 당시 공격 표적들은 대부분 러시아와 사우디아라비아에 위치해 있었다.

이후 레진 멀웨어는 에드워드 스노든(Edward Snowden)이 유출시킨 문서를 통해서도 일부 정보가 공개됐는데, “모듈 구성으로 되어 있으며, 수많은 기능들을 떼었다 붙이는 게 가능”하다는 사실이 추가로 밝혀지기도 했다. 여기에는 키로깅, 신원 도용, 파일 시스템 포렌식, 모니터링, 네트워크 패킷 캡쳐, 프로세스 하이재킹, 시스템 정보 수집, 크리덴셜 탈취, 이메일 작성 및 열람 등이 포함된다.

하지만 아직 얀덱스에 대한 표적 공격을 누가 실시했는지는 정확히 밝혀지지 않고 있다. 강력한 용의자들은 이른바 파이브 아이즈(Five Eyes)에 속한 국가들이다. 파이브 아이즈는 미국, 영국, 호주, 캐나다, 뉴질랜드를 가리킨다.

로이터 통신에 의하면 얀덱스를 겨냥한 공격을 수사한 건 러시아의 보안 업체 카스퍼스키(Kaspersky)이며, 카스퍼스키는 “서방 세계 국가들과 관련이 있는 자들이 공격한 것으로 보이며, 얀덱스의 개발자들을 노린 것 같다”고 밝힌 바 있다고 한다.

최근 미국의 뉴욕타임즈는 미국 정부가 파괴적인 기능을 가지고 있는 멀웨어를 러시아의 전력망에 심었다는 내용의 보도를 내보내기도 했었다. 트럼프 대통령은 이를 강력하게 부인했다.

3줄 요약
1. 러시아의 IT 대기업, 작년 10월과 11월 사이에 침해됨.
2. 공격자는 인증 기술 혹은 개발자들을 노린 것으로 보임.
3. 이 공격에 사용된 건 레진이라는 멀웨어. 가장 강력한 용의자는 파이브 아이즈 국가들.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>