세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
이란의 APT 단체, 미국, 사우디, 대한민국 공격했다
  |  입력 : 2017-09-21 11:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
항공우주 산업 분야와 석유화학 분야의 조직들 겨냥한 스파잉 행위
파괴 멀웨어 활용한 공격 능력도 엿보여...아직 실행한 사례는 없어


[보안뉴스 문가용 기자] 이란의 APT 단체가 고급 사이버 스파잉 공격을 항공과 에너지 산업을 겨냥해 실시했다는 사실이 드러났다. 주로 피해를 본 국가는 미국, 사우디아라비아, 대한민국이다. 이 단체는 APT33으로 2013년부터 활동해왔으며, 이란이 항공 분야와 석유화학 분야에서 두각을 나타내는 데 도움을 줄 수 있는 정보를 모으는 것이 항상 주요 목표였다.

[이미지 = iclickart]


APT33이 사우디아라비아 정부와 파트너십 관계를 맺은 항공 분야 조직들에도 스파이 활동을 했다는 건, 이란 정부가 군사 전략적 우위에 점할 수 있도록 하기 위함으로 보인다고 보안 업체 파이어아이(FireEye)의 분석가 재컬린 오리어리(Jacqueline O’Leary)는 설명한다.

“2016년 5월부터 2017년 8월 사이에 최소 여섯 개 조직이 공격을 받았습니다. 미국 항공우주 산업 분야의 회사 한 곳, 항공과 관련된 사우디아라비아의 대기업 한 곳, 대한민국의 석유화합 업체 한 곳이 여기에 포함됩니다.” 하지만 파이어아이는 “공격의 인프라 구조를 봤을 때 더 많은 조직들이 공격을 받은 것이 거의 확실해 보인다”는 입장이다.

아직까지 파괴적인 행위를 한 것으로 보이는 사례는 없었다. 정보를 착실히 모으는 것에만 충실했던 것으로 파악된다. 하지만 공격에 연루된 멀웨어들이 전부 ‘얌전한’ 것들만 있는 건 아니었다. “APT33이 사용한 드로퍼 중 하나는 드롭샷(DROPSHOT)이라는 건데요, 이 드로퍼를 통해 셰입쉬프트(SHAPESHIFT)라는 멀웨어가 다운로드 됩니다. 셰입쉬프트는 사우디아라비아 조직들을 공격할 때 사용됐던 샤문(Shamoon)과 비슷한 멀웨어로, 디스크나 파일을 삭제하는 기능을 가지고 있습니다.” 샤문 공격은 사우디 아람코(Saudi Aramco)라는 석유 회사의 PC 35000대를 사실상 파괴시킨 바 있다.

다행이도 아직 APT33가 셰입쉬프트를 다운로드 받고 사용한 사례는 없었다. “그렇다고 앞으로도 계속 정찰만 할 거라고 장담할 수는 없습니다. 셰입쉬프트를 드롭시키는 드롭샷은 APT33만 고유하게 사용하는 드로퍼이고요.”

여느 APT 단체와 마찬가지로 APT33 역시 스피어피싱을 활용해 첫 공격을 실시한다. 직원 채용 공고 따위의 내용이 있는 가짜 이메일을 표적들에게 보내는 것인데, 이 이메일들에는 악성 HTML 지원 양식 파일이 첨부되어 있다. 본문에는 직무에 대한 설명과, 해당 공고로 연결되는 링크 등이 포함되어 있다고 한다. “눈으로만 봐서는 가짜인 걸로 식별하기가 어려울 정도로 정교하게 만들어졌습니다.”

또한 APT33이 피싱 공격의 성공률을 높이고자 보잉(Boeing), 알살람 에어크래프트 컴파니(Alsalam Aircraft Company), 노스럽그러먼(Northrop Grumman)과 같은 조직들의 것으로 보이는 웹 사이트들도 정식 등록 과정을 통해 구축해 놓았다는 것을 파이어아이는 찾아내기도 했다.

한편 APT33이 이란 정부의 후원을 받고 있다는 힌트는 여러 가지가 존재한다. 먼저 멀웨어 속 코드에서 페르시아어가 발견되고 있고, APT33이 사용하는 것으로 알려진 공격 툴들은 거의 전부 이란 해커 커뮤니티 등에서 유통되고 있다. 게다가 APT33이 노리는 조직이나 국가는 하나같이 이란의 국익과 맞물려 있기도 하다. APT33의 활동 시간대 역시 이란의 일반적인 업무 시간대와 겹친다.

파이어아이는 “이전에 이란 정부에 고용돼 비슷한 업무를 수행해 온 개인이 멀웨어를 새롭게 만들어 공격을 실시한 것일 수도 있다”는 가능성도 제기했다. 즉 이란 정부는 이번 건에서 무고할 수도 있다는 것이다. “하지만 APT33는 다른 나라 정부의 해킹 부대와 비슷한 행동 양식을 보이고 있습니다. 대중적으로 공개된 툴을 사용하되 약간의 자체 멀웨어를 가미한다는 것이 좋은 예입니다.”

파이어아이의 또 다른 분석가 조시아 킴블(Josiah Kimble)은 “다른 유명 국가 해킹 부대와 비슷한 패턴을 보인다는 건, APT33의 능력이나 기술력이 우리 예상을 웃돌 가능성도 높다는 걸 뜻한다”고 경고한다. “보통 이란의 해커라고 하면 기술력이 매우 빼어나진 않은 부류로 파악하고 있었습니다만, 그들의 수준이 빠르게 올라왔을 가능성을 이제 염두에 두어야 할 때입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)