컨텐츠 바로가기

“러시아와 중국 만이 아니다” 사이버 범죄 집단, 중동∙남미에도 포진

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
지난해 세간의 이목을 끈, 러시아와 중국에서 발생한 사이버 공격은 미국과 서방 동맹국이 국가적 차원의 사이버보안 대응을 추진하는 촉매제로 작용했다.
ITWorld

ⓒ Getty Images Bank



하지만 디지털 세계에서 러시아와 중국 만이 위험한 적수는 아니다. 인도, 이란, 벨라루스, 라틴 아메리카, 이스라엘의 소규모 공격 집단도 파괴적인 해킹이나 스파이 행위를 할 수 있다. 게다가 국적이 불분명한 이른바 ‘핵티비스트’ 집단과 공격자는 흔히 납득하기 어려운 목적으로 범죄를 저지른다.

합법적인 회사로 가장한 인도 해커

로이터 통신의 사이버보안 전문 기자 크리스 빙과 라파엘 새터는 최근의 사이버워콘(CyberwarCon) 행사에서 평판관리 회사와 노골적인 청부 해킹 서비스 업체의 경계를 오가는 인도 해커 집단을 대상으로 진행 중인 조사를 소개했다. 이 집단은 애핀 시큐리티 랩(Appin Security Labs), 벨트록스(BellTrox)와 같은 조직을 위해 활동하는 것처럼 보이지만, 실은 법률가와 활동가, 임원, 투자자, 제약 회사, 에너지 기업, 자산 관리 회사, 역외 금융 집단, 그리고 부유한 개인을 공략한다.

델리에 소재지를 둔 벨트록스의 한 표적 대상은 이란계 미국인인 항공업계 거물 파하드 아지마였다. 벨트록스는 아지마의 이메일을 탈취해 소송 과정에서 아지마에 불리하게 활용했다. 빙은 “향후 발생할 해킹 및 데이터 유출 행위는 러시아나 북한, 인도의 소행만이 아닐 수 있다. 뉴스에 출연한 억만장자나 케이스트리트(K Street) 로비 회사, 심지어 앙심을 품은 이전 배우자일 가능성도 있다”라고 말했다.

고스트라이터 캠페인의 배후, 벨라루스

사이버워콘 컨퍼런스에서 맨디언트(Mandiant)의 위험 인텔리전스 그룹(Threat Intelligence Group)이 국가적 차원으로 활동하는 스파이 집단인 UNC1151의 관계망을 발표한 것이 핵심이었다. UNC1151은 이전에 러시아와 벨라우스 정부와 연관됐었다. 또한, 맨디언트는 UNC1151이 고스트라이터(Ghostwriter)라고 알려진 캠페인에 기술 지원을 했다고 결론을 내렸다. 이는 반나토(anti-NATO) 메시지를 비롯해 벨라루스 정부의 이익과 일치하는 여론을 부추겼다.

맨디언트 사이버 스파이 분석 수석 관리자인 벤 리드와 기술 위협 스파이 애널리스트인 개비 론콘은 러시아의 관여를 아예 배제할 수는 없다고 밝혔다. 리드는 “고스트라이터 캠페인이 UNC1151과 제휴한 것을 봤다. 따라서 이 캠페인이 벨라루스 정부와도 관계를 맺었을 가능성은 거의 50%라고 할 수 있다. UNC1151이 고스트라이터 캠페인에 기술 지원을 했을 가능성은 매우 높다”라고 말했다.

이어 그는 “UNC1511이나 고스트라이터 캠페인, 그리고 러시아에서 시작된다고 공식적으로 알려진 다른 사이버 스파이 활동 간에는 어떤 공통점도 없다. 각각은 별개이며, 또 독립적으로 평가되어야 한다. 러시아의 관여를 의심하는 꽤 그럴듯한 이유는 많지만, 확실한 증거가 없다”라고 말했다.

워터링 홀 공격에 연루된 이스라엘 기업 칸디루

사이버워콘 컨퍼런스에서 밝혀진 또 하나의 중대한 사실은 ESET 연구원이 중동 지역의 유명 웹사이트에 대한 워터링 홀 공격을 이스라엘 스파이웨어 기업인 칸디루와 연관 지은 것이다. 공격의 표적이 된 사이트로는 아부다비 이란 대사관, 런던 소재 디지털 뉴스 사이트인 미들 이스트 아이(Middle East Eye), 이 외 사우디아라비아에 비판적인 사이트 등이 있다. 미국 상무부는 최근 미국 기업이 허가 없이 사업 제휴를 할 수 없는 단체 목록에 칸디루를 추가하는 방식으로 제재 조치를 취했다.

ESET 악성코드 연구자인 매튜 파오우는 사이버워콘 컨퍼런스 발표 도중 맨디언트가 2021년 7월 말쯤 칸디루의 활동에 대한 관찰을 중단했다고 밝혔다. 시티즌 랩(Citizen Lab)과 구글, 마이크로소프트가 칸디루의 활동을 자세히 설명한 블로그 게시물을 발표한 이후 몇 주가 지난 시점이다.

파키스탄과 시리아의 해커 집단을 차단한 페이스북

페이스북의 글로벌 위협 차단 책임자인 데이비드 아그라노비치와 페이스북의 사이버 스파이팀을 이끄는 마이크 드빌랸스키는 지난 몇 달 동안 파키스탄과 시리아의 해커 집단 4곳에 취한 조치에 대해 자세히 설명했다. 페이스북은 이 해커 집단의 계정을 비활성화시켰고, 이들의 도메인이 페이스북에 게시되지 못하도록 차단했다. 또한, 업계 동료와 보안 연구자, 법 집행기관에 정보를 공유했으며, 이 집단의 표적으로 추정되는 사용자에게 경고를 발송했다.

사이드카피(SideCopy)라고 알려진 파키스탄 해커 집단은 전 아프가니스탄 정부 관리와 아프가니스탄에 기반을 둔 반정부 인사들을 표적으로 삼았다. 시리아에서는 페이스북이 시리아 정부와 연계된 해커 집단 3곳을 제거했다. 이 집단에는 시리아 전자군(Syrian Electronic Army)과 APT-C-37, 소수 집단과 활동가, 야당, 쿠르드 언론인, 인민수호부대(YPG) 구성원, 그리고 자원봉사에 기반을 둔 인도주의 단체인 시리아 민방위대(White Helmet)를 공격 표적으로 삼는 단체가 포함된다.

라틴 아메리카를 노리는 마체테

크라우드스트라이크(CrowdStrike) 글로벌 위협 분석팀(Global Threat Analysis Cell, GTAC)의 인텔리전스 애널리스트인 블레이크 다바헤리안은 2010년부터 활동한 라틴 아메리카 전문 사이버공격 집단인 마체테에 관한 조사 결과를 상세하게 공개했다. 마체테는 표적을 집중적으로 노리는 방식으로 활동하며, 거의 모든 경우에 라틴 아메리카 문제나 단체에 초점을 둔다.

이들 집단은 정부 서신을 능숙하게 스푸핑해 악성코드를 배포한다. 마체테는 특히 에콰도르, 베네수엘라, 니카라과, 쿠바, 콜롬비아 내 일부 단체에 집중한다. 크라우드스트라이크는 이런 위협 행위를 특정 국가의 탓으로 돌리지는 않았다. 하지만 다바헤리안은 “표적 범위가 콜롬비아 정부의 인텔리전스 수집에 대한 우선순위와 관련성이 매우 높다. 여기에는 콜롬비아 정부를 위해 이런 활동을 하는 계약자 및 하도급 업체가 포함된다”라고 밝혔다.

범죄 페르소나로 변모하고 있는 이란의 위협 집단 4곳

크라우드스트라이크 GTAC의 표적 침투 임무를 지휘하는 알렉스 올레즈와 GTAC 책임자인 케이티 블랭큰십은 이번 컨퍼런스에서 그들이 조사한 이란 집단 4곳, 타니시드 건틀렛(Tarnished Gauntlet), 파이오니어 키튼(Pioneer Kitten), 스펙트랄 키튼(Spectral Kitten), 네메시스 키튼(Nemesis Kitten)을 소개했다.

이 집단들은 핵티비스트 페르소나로에서 범죄 페르소나로 변모하고 있다. 블랭큰십은 “이들은 랜섬웨어의 파괴적 기능을 조직적으로 활용할 수 있으며, 동시에 사람들이 새로운 범죄 활동에 가담하도록 유도할 수도 있다”라고 말했다.

이란 소재 위협 집단 6곳의 랜섬웨어 배포를 포착한 마이크로소프트

마이크로소프트 위협 인텔리전스 센터(MSTIC)의 제임스 엘리엇과 시미언 카크포비, 네드 모란은 이란의 악의적인 네트워크 운영자가 사용한 툴과 기법, 절차의 점진적인 발전에 대한 분석 결과를 발표했다. MSTIC는 2020년 9월부터 이란의 위협 집단 6곳이 평균 6~8주 주기로 전략 목표를 달성하기 위해 랜섬웨어를 배포한다는 사실을 발견했다. 특히, 포스포러스(Phosphorus)라는 집단은 취약한 네트워크에 랜섬웨어를 배포할 목적으로 전 세계 포티넷의 포티OS SSL VPN과 패치되지 않은 온프레미스 익스체인지 서버를 노렸다.

메시지를 전하는 것이 핵티비스트의 목표

센티넬원(SenttnelOne)의 수석 위협 연구자인 주안 안드레스 게레로 사데는 핵티비스트 집단 및 행위자가 관여한 일련의 사이버보안 사건을 브리핑했다. 예컨대 피니어스 피셔는 2015년 보안업체인 해킹팀(Hacking Team)을 공격했다. 인드라는 이란 기차역 해킹을 비롯해 이란 내 테러를 감행했으며, 최근 이란 주유소 공격의 배후이기도 하다.

게레로 사데에 따르면, 핵티비스트의 테러는 대부분 해킹이 궁극적인 목표가 아니었다. 단순히 사용자를 화나게 할 목적이 아닌, 오히려 메시지를 전달하는 형태로 활동하고 있었다. editor@itworld.co.kr

Cynthia Brumfield editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.