러시아 해킹단체, 윈도우 제로데이 취약점 악용해 스파잉

공격 대상은 NATO, EU, 우크라이나 정부, 미국 전문기관 등

사소한 멀웨어인 것처럼 위장한 사이버 스파이 행위 계속 늘어

[보안뉴스 문가용] 러시아의 사이버 스파이 및 범죄 행위가 다시 한 번 드러났다. 이번에는 마이크로소프트 윈도우 모든 버전에 존재하는 제로데이 취약점을 악용했다. 아이사이트 파트너즈(iSIGHT Partners)는 샌드웜(Sandworm)이라는 팀의 해킹 행위를 계속해서 감시해오다가 여태까지 알려지지 않은 윈도우의 취약점을 악용하고 있다는 것을 발견할 수 있었다며 이 같은 사실을 보도했다.

▲ 이제 ‘사이버전’도 전쟁의 아이콘

샌드웜은 공격의 포문을 제로데이로 열며, 그 후에는 러시아 정부가 지하에서 운영하는 사이버 범죄조직이 즐겨 사용했던 블랙에너지(BlacEnergy)라는 트로이목마의 변종을 설치한다. 이렇게 러시아 정부의 스파이 행위와 러시아 범죄조직의 스파이 행위 사이에 접점이 생기기 시작한 건 이미 1년도 넘은 일이다. 이는 우크라이나 사태와 더불어 사이버 공격이 대량으로 늘어난 것과 연관이 있어 보인다.

샌드웜의 타깃은 NATO, 우크라이나 정부, 미국의 러시아 전문가 그룹, 폴란드 정부, 에너지 산업 단체, 프랑스 통신사업자, 서유럽 정부기관인 것으로 드러났다. 이 범죄조직은 2013년부터 활동을 시작했으나 이번 제로데이 공격은 지난 8월 말이나 되어서야 발견되었다. 그나마도 우크라이나를 향한 공격이 거세졌기 때문이다.

샌드웜은 마이크로소프트 오피스 파일에 임베드 되어 있는 제로데이 익스플로잇을 주로 악용하는데, 이번에는 파워포인트 프레젠테이션 파일이 적극 활용된 것으로 드러났다. 공격방식은 대체로 스피어피싱 형태를 가졌다.

이 취약점은 윈도우의 OLE 패키지 기능에 포함되어 있는 것으로 공격자들이 파워포인트 파일을 애니메이션 모드로 실행 가능하도록 한다. 애니메이션 모드로 실행되는 순간 오류가 발동되면서 시스템을 감염시키게 되는 것이다. 또한 이 파일은 사용자에게 ‘애니메이션 모드로 실행할까요?’라는 옵션을 주지 않고 곧바로 애니메이션 모드로 실행된다.

“보통 사용자가 어떤 행위를 직접 실행함으로써 감염이 시작됩니다만 이번 경우에는 파워포인트 파일을 여는 것만으로 멀웨어 설치가 끝납니다.” 아이사이트 파트너즈의 멀웨어 분석가인 드류 로빈슨(Drew Robinson)의 설명이다.

이번 범죄에 적극 활용된 것으로 드러난 블랙에너지 트로이목마는 지난 수년 간 디도스 공격부터 온라인 뱅킹 사기까지 다양한 범죄에 활용된 것으로 최근에는 타깃형 사이버 스파이 행위에도 활발하게 사용되고 있다. 이미 지난 달 ESET의 연구원들은 악성 파워포인트 파일을 통한 블랙에너지의 사용을 보고한 바 있으며 특히 우크라이나와 폴란드로 칼끝이 향해있다는 걸 언급했다. 에프시큐어(F-Secure) 역시 러시아의 사이버 범죄단을 계속해서 관찰하고 있었다고 한다.

“사이버 범죄가 너무나 많아지니까 사이버 스파이 행위와의 경계가 무너지고 있습니다.” 아이사이트의 수석 마케팅 책임자인 스티븐 워드(Stephen Ward)의 분석이다. “이 경계가 무너지니까 흔히 일어나는 해킹 공격인 것처럼 위장침입해 지속적인 스파이 행위를 할 수 있는 것이죠.”

그 말 그대로 최근 들어 사이버범죄와 사이버스파이 행위가 점점 섞여들고 있다. 아웃라이어 시큐리티(Outlier Security)의 CEO인 그렉 호그런드(Greg Hoglund) 역시 이 현상에 주목하고 있다고 한다. “2년 전이었나, 제우스 봇에 감염되었지만 시스템에서 관련된 악성 멀웨어를 전부 지운 회사가 있었습니다. 당시 저도 그 봇을 면밀하게 검사를 했었는데 지적재산 문서들을 훔쳐내기 위해 특별히 만들어진 엑셀 파일, 워드 파일 등 다양한 확장자가 활용되고 있더라고요. 동시에 IP 주소도 훔치고 있었고요.”

오늘은 마이크로소프트가 정기 패치를 발표하는 날로 윈도우 비스타, 윈도우 7, 윈도우 8, 윈도우 8.1, 윈도우 서버 2008, 윈도우 서버 2012에서 발견된 CVE-2014-4114 버그에 대한 패치가 배포될 예정이다. 마이크로소프트는 이번에 발견된 제로데이 취약점을 오늘 패치를 통해 고쳐놓겠다는 것 외에는 별다른 입장표명을 하지 않고 있는 상태다. 하지만 아이사이트의 로빈슨은 이번 오류는 다시 만들어내기가 굉장히 쉽다고 하며 패치 한 번으로 해결될 성질의 것이 아니라고 말한다.

한편 샌드웜 해커들은 모든 종류의 문서, SSL 인증서, 코드 사인 인증서, 사용자 로그인 정보 등 말 그대로 ‘깡그리’ 훔쳐내는 것을 목적으로 움직이는 듯이 보인다. “일단 우크라이나 정보를 상대로는 전부 훔쳐내는 것에 성공했습니다. 샌드웜이 사용한 서버 호스트들만 하더라도 이미 공격 대상이 된 에이전시의 내부 네트워크에 대해 빠삭하게 알고 있던 상태였던 것으로 보입니다.” 로빈슨의 설명이다.

이들의 정체가 드러난 건 듄이라는 고전 SF 시리즈물 때문이다. 이들은 듄의 엄청난 팬으로 보이며 블랙에너지 멀웨어에 듄에 대한 레퍼런스를 다량 포함시켰고, 이 정보 때문에 조사자들이 C&C 서버와 대조작업을 벌일 수 있게 된 것이다. 샌드웜이라는 것도 듄에 등장하는 괴물이다. 그러나 샌드웜은 미국과 서방 에너지 및 석유 관련 기업 및 조직을 공격한 하벡스(Havex) 멀웨어와는 상관이 없는 것으로 드러났다.

* 다른 외신에서는 샌드웜을 버그 이름으로 보도하기도 했으며 러시아 해킹팀의 이름이 허리케인 팬더라고 보도하고 있기도 하다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)