• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 용병 단체 바하무트, 높은 수준과 전략성 겸비해 2020.10.08

최근에는 중동과 서아시아 쪽 노려...피해자 사이에 뚜렷한 패턴이 없어
공격 방식과 도구도 다양...피해자에 따라 맞춤형으로 공격할 능력 갖춰

[보안뉴스 문가용 기자] 해킹 공격을 대신해 주는 사이버 용병 단체인 바하무트(Bahamut)가 최근 정부 기관들을 겨냥한 고급 공격을 펼치고 있다고 보안 업체 블랙베리(BalckBerry)가 경고했다. 바하무트는 정치적 의도와 금전적 의도를 모두 가진 단체로 보이며, 용병이다 보니 공격 대상이 대단히 많다고 한다. 특히 인도, 파키스탄, UAE, 카타르 등에서 피해 단체가 나오는 상황이다.

[이미지 = utoimage]


보안 연구 부문 부회장인 에릭 밀람(Eric Milam)은 “바하무트를 2018년부터 추적했다”며 “다른 보안 전문가들 사이에서는 에데벨(Ehdevel), 윈드쉬프트(Windshift), 유어페이지(Urpage)라고 불리기도 한다”고 설명했다. “바하무트의 피해자나 공격 기법에는 이렇다 할 패턴이 나타나지 않고 있습니다. 제멋대로이거나 다양한 사람들의 사주를 받고 있다는 뜻이죠. 그래서 용병 단체로 규정하고 있습니다. 이 단체는 적어도 한 명 이상의 제로데이 전문 개발자가 포함되어 있는 것으로 보입니다. 즉 꽤나 수준이 높은 단체라는 뜻입니다.”

바하무트는 중동에서 주로 정부 기관들을 공략했지만 민간 기업들과 개인들을 공격하는 경우도 종종 있었다. 사우디아라비아의 경우 7개의 정부 기관이 이들에게 당했는데, 주로 재무와 관련된 기능에 피해가 있었다. UAE와 카타르, 바레인, 쿠웨이트에서도 피해가 있었는데, 이 때는 주로 외교 및 국방 관련 기관들이 당했다. 하지만 블랙베리는 피해 단체의 실명을 공개하지는 않고 있다.

이처럼 광범위한(혹은 중구난방의) 활동을 펼치는 단체인지라 해커들의 근거지를 짚어낸다는 것이 쉬운 일은 아니다. 다만 블랙베리는 “공격 활동이 있는 곳과 가까운 곳이 있을 가능성이 높다”는 이유로 “남아시아, 걸프만, 유럽, 아프리카, 중국과 고루 가까운 지점 어딘가”에 있을 것으로 보고 있다.

바하무트의 특징 중 하나는 표적에 따라 공격 기법을 바꾼다는 것이다. “공격 대상이 되는 단체의 OS나 통신 방법에 따라 여러 공격법을 동원할 줄 압니다. 또한 대상의 성격이나 특성에 따라서도 여러 가지 기법을 바꿔가며 사용합니다. 예를 들어 정부 요원이 공격 목표라면 업무용 이메일보다 개인 이메일 주소를 먼저 훔쳐내려고 합니다. 표적을 면밀히 관찰하고 그에 맞는 맞춤형 전략을 세우고 수립하는 데에 일가견이 있는 자들입니다.” 밀람의 설명이다.

바하무트의 피싱 및 크리덴셜 수집 공격은 정확한 표적 설정 후 심층적인 정찰 활동을 펼치고 나서 진행된다고 한다. “예를 들어 로그인 계정을 수집하는 공격의 경우, 공격 표적에 따라 마이크로소프트 라이브, 지메일, 애플 ID, 야후!, 트위터, 페이스북, 텔레그램, 원드라이브, 프로톤메일과 같은 다양한 서비스의 계정들을 노리더군요. 피해자가 어떤 플랫폼에서 주로 활동하는지를 파악해 알맞은 것을 선택할 수 있다는 뜻이죠. 각각의 공격 기법도 매우 정교했습니다.”

스피어피싱의 경우 수시간에서 수개월 동안 진행되는 경우도 있었다. 이 때문에 실시간 탐지가 상당히 까다롭게 된다고 블랙베리는 설명했다. “원래 패턴에 작은 변화만 발생해도 탐지 시 고려해야 할 것이 많아 일이 어려워지거든요. 사실 이들이 워낙 변화무쌍하게 공격을 해서 추적을 하는 것 자체도 쉽지 않았습니다. 이걸 그들도 알고 있는 듯, 공격 인프라를 매주 바꾸는 모습을 보이기도 했습니다. 널리 알려진 도구들을 사용해 다른 공격 단체와의 차별성을 최소화 하기도 했고요.”

가짜 앱과 가짜뉴스
바하무트는 중동을 공격할 때 가짜 모바일 앱을 주로 활용했었다. 보다 광범위한 범위의 사람 및 조직들을 표적으로 노린 듯했다. 반면 같은 가짜 앱을 사용했어도 남아시아의 조직들을 공격할 때는 표적이 명확했고, 정치적인 동기로 움직이는 것이 분명해 보였다. “이런 공격에 활용한 iOS용 가짜 앱이 9개, 안드로이드용 가짜 앱이 7개였습니다. 진짜 같아 보이는 개발자 웹사이트, 프라이버시 관련 약관, 이용자 약관이 그럴듯하게 준비되기도 했었습니다.” 당연하지만 수행하는 악성 기능들도 다양했다.

심지어 정교하게 만들어진 가짜뉴스를 배포하기도 했다. 예를 들어 사이버 보안과 관련된 웹사이트 하나를 장악한 뒤 가짜 연구 결과, 가짜 지정학적 연관성에 관한 보고서, 가짜 해킹 공격 소식을 전파했었다. 이 문건들에는 실제 기자와 뉴스 사이트에 나올 법한 사진들도 포함되어 있었다. 이 공격의 경우 의뢰를 받아 실시한 공격인 것으로 보이지만, 실제 목적이 무엇인지는 아직 명확히 드러나지 않고 있다.

3줄 요약
1. 공격 대행 단체 바하무트, 기술력과 전략 이행 능력 매우 우수함.
2. 중동, 아프리카, 서아시아, 중국 등 다양한 표적을 중구난방으로 노림.
3. 정치적 목적의 공격도 있고, 금전적 목적의 공격도 있고.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>