스위스의 보안 업체가 솔라윈즈 사태의 공격자들로 보이는 이들의 공격 인프라에 잠입하는 데 성공했으며, 이를 통해 여러 가지 정보를 캐낼 수 있었다고 발표했다. 현재 이 공격자들은 실버피시라는 이름으로 불리고 있다.

[보안뉴스 문가용 기자] 스위스의 사이버 보안 회사인 프로액티브 디펜스 어겐스트 퓨처 쓰레츠(Proactive Defense Against Future Threats, PRODAFT)가 솔라윈즈 사태의 배후에 있는 것으로 보이는 한 공격 단체의 서버에 접근하는 데 성공했다고 발표했다.


프로대프트(PRODAFT)가 분석한 바에 의하면 공격자들은 이번 달 내내 솔라윈즈 공격 캠페인을 진행했다고 한다. 공격자들의 서버에 침투해 컴퓨터 인프라와 장비들을 분석했을 때 이 캠페인은 지난 해 8월부터 시작된 것으로 보인다는 설명도 덧붙였다. 즉 8개월이나 진행되고 있었던 캠페인이라는 것이다.

이 기간 동안 공격자들은 미국과 유럽 내 약 4700개 기업과 정부 기관들을 공격했다고 프로대프트는 주장했다. 미국의 조직이 2465개, 유럽의 조직이 1466개로 집계되고 있으며, 솔라윈즈 취약점을 통해 유럽 조직들을 공격한 최초의 APT 단체로 보인다고 프로대프트는 설명한다.

프로대프트의 전문가들은 공격 단체를 실버피시(SilverFish)라고 명명했으며, 이들이 어떤 식으로 이 대규모 공격을 진행하고 정보를 훔쳤는지, 51쪽짜리 보고서를 통해 상세히 설명했다. 이 보고서는 이 주소(https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf)를 통해 다운로드 받거나 인쇄할 수 있다.

보고서에 의하면 실버피시는 다양한 전술과 기법들을 활용해 피해자들을 공격했다고 한다. 이 중에는 당연히 IT 솔루션 개발사인 솔라윈즈(SolarWinds)도 포함되어 있다. 이들은 주로 국가의 지원을 받아 솔라윈즈 사태와 같은 첩보 수집 및 정찰 공격을 실시하는 단체로 보이며, 여러 데이터를 종합했을 때 돈을 목적으로 움직이는 단체 같지는 않다고 한다.

프로대프트에 의하면 실버피시는 대단히 정교하게 조직된 단체로, 301, 302, 303, 304라는 하위 팀으로 구분되어 움직인다고 한다. 하지만 각 팀의 고유한 역할은 아직 명확히 밝혀지지 않고 있다. 다만 일부는 정부 기관들을, 일부는 포춘 500대 기업들을 전담했을 것으로 보인다고 한다.

실버피시 공격자들이 남긴 댓글이나 코멘트도 이번 서버 수색을 통해 발견됐다. 공격자들이 주로 사용한 언어는 영어였으나, 러시아어 속어와 토착어가 자주 눈에 띈다는 사실도 이번에 밝혀졌다. C&C 서버들은 주로 러시아와 우크라이나에 있는 것으로 보이며, 일부는 또 다른 러시아의 사이버 공격 단체인 이블코프(Evil Corp)와 공유하는 것으로 분석됐다.

현재 스위스 사법 기관과 경찰이 프로대프트의 연락과 보고서를 받은 상태이며 수사에 착수했다고 한다. 외신들에 의하면 FBI도 같은 내용을 접수해 조사에 들어갔다고 한다.

3줄 요약
1. 스위스의 보안 업체, 솔라윈즈 공격 단체의 인프라에 잠입 성공.
2. 서버를 분석해 보니 솔라윈즈 캠페인은 8개월 동안 4700여개 조직들 겨냥해 진행됨.
3. 공격자들의 주 언어는 영어와 러시아어. 서버는 러시아와 우크라이나에 대부분 있었음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>