세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
남미 공격하는 ‘소버그’, 정부 지원 해커로 추정
  |  입력 : 2017-11-08 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자금 충분히 조달받으면서 동시다발적 공격 가능
남미 정부 겨냥해 구체적인 외교 정보 빼돌려


[보안뉴스 오다인 기자] 남미 정부를 겨냥한 사이버 스파이 작전이 포착됐다. 신원 미상의 공격자는 정부 지원을 받는 것으로 추정되는데, 남미라는 지역에서 이 같은 공격이 나타난 것은 드문 일이라 그 배경이 주목된다.

[이미지=iclickart]


일명 ‘소버그(Sowbug)’라 불리는 공격자들은 최소 2015년 초부터 활동해온 것으로 보인다. 보안 업체 시만텍(Symantec)이 7일 발표한 보고서에 따르면, 소버그는 남미의 외교기관 및 정부기관에서 외교 정책 정보를 수집하는 것을 주 임무로 한다.

브라질, 페루, 아르헨티나, 에콰도르의 조직들이 소버그의 공격에 당했다. 남미 국가와 함께 소버그는 동남아의 조직들도 공격했으며 브루나이와 말레이시아의 정부기관을 해킹한 사실도 드러났다.

시만텍은 2017년 3월 소버그 공격에 대한 징후를 처음 포착했다고 밝혔다. 당시 시만텍은 펠리스무스(Felismus)라는 새로운 백도어가 동남아 조직을 대상으로 사용됐다는 사실을 발견하고 이를 조사하던 중이었다. 소버그는 충분히 자금을 조달받으면서 여러 개의 목표물을 동시다발적으로 해킹할 역량이 있고, 오랜 기간 목표 네트워크에 머무를 수 있는 것으로 나타났다. 일부 경우, 소버그는 목표 네트워크에 최대 6개월까지 탐지되지 않은 채 머물렀던 것으로 드러났다.

시만텍의 보안 연구자 딕 오브라이언(Dick O’Brien)은 소버그 공격이 중요한 의미를 갖는 이유는 바로 남미라는 지역에 초점을 맞추고 있기 때문이라고 설명했다. 그는 이런 성격의 공격들 대부분은 대개 미국이나 유럽의 조직을 겨냥하기 마련이라고 말했다. “저희 연구에서 가장 중요한 점은 이런 사이버 스파이 조직이 남미를 노리고 있다는 정황을 파악했다는 사실입니다. 지금까지 이런 사례는 거의 없었거든요.”

그는 “사이버 스파이가 전 세계적인 문제가 됐으며 그 어느 지역도 예외는 없다는 사실에 주목해야 한다”고 말했다. 특정 지역에 있다고 해서 공격에 당하지 않을 것이라고 지레 짐작해서는 안 되며 사이버 스파이 위협에 대비해 방어 태세를 갖추어야 한다고 오브라이언은 강조했다.

소버그는 자체적으로 정교한 멀웨어를 개발할 역량이 있는 데다 동시에 여러 목표물을 대상으로 공격을 펼칠 만큼 충분한 인력도 갖춘 것으로 나타났다. 공격자들은 적발될 위험을 최소화하기 위해 목표 국가의 일반적인 근무시간 외에 움직이는 경향을 띤다. “그래서 저희는 자금이 충분히 조달되면서 역량도 갖춘 공격자들이라고 예측하게 됐습니다. 사이버 스파이 부문에서 최상위 계급으로 추정됐죠.”

소버그 공격자들은 피해 네트워크상에서 매우 구체적인 정보를 찾고 있는 것으로 나타났다. 예컨대, 2015년 5월 한 남미 국가의 외교부를 공격한 사건에서 이들은 아시아 태평양 지역 어느 국가의 외교관계를 담당하는 부서에서 특정 문서들을 빼내는 데 주력한 것으로 보였다.

소버그 공격자들은 먼저 해당 부서의 파일 서버에서 2015년 5월 11일부터 수정된 모든 워드 문서를 찾고 추출했다. 1시간 뒤에 동일한 서버로 되돌아가 4일 치의 데이터를 추가적으로 추출했다. 시만텍은 보고서에서 다음과 같이 지적했다. “이들은 최초 습격에서 원래 찾고자 했던 데이터를 찾지 못했거나 1차로 훔쳐낸 문서에서 어떤 사실을 발견한 뒤 추가적인 정보를 찾기 위해 다시 움직인 것으로 추정된다.”

이후 소버그 공격자들은 이 부서의 원격 파일 공유 드라이브에서 워드 문서와 다른 콘텐츠를 추출하려고 시도했다. 이때도 매우 특정한 일자 범위 내에서 데이터를 찾았다. 이 사건에서 소버그 공격자들은 피해 네트워크에 탐지되지 않은 채로 2015년 5월부터 9월까지 약 4개월 동안 머물렀다.

소버그가 탐지를 피하기 위해 사용하는 전략 중 하나는 자신들의 멀웨어를 윈도우나 어도비 리더 같은 잘 알려진 소프트웨어 패키지로 위장하는 것이다. 시만텍은 소버그 공격자들이 공격 툴 이름을 유명한 소프트웨어 제품명을 따서 짓고 이를 진짜 소프트웨어와 혼동되기 쉽도록 디렉토리 트리 내에 위치시켜 겉으로 보기에는 별다른 문제가 없는 것처럼 위장할 수 있었다고 설명했다.

오브라이언은 소버그 공격자들이 목표 시스템에 최초로 침입한 방법이나 펠리스무스 백도어를 삽입한 방법에 대해서는 아직까지 파악하지 못했다고 밝혔다. 몇몇 경우에서 시만텍 연구진은 소버그 공격자들이 펠리스무스를 설치하기 위해 스타로더(Starloader)라는 드로퍼를 이용했다는 사실을 포착했다. 그러나 이 같은 경우에서도 시만텍은 소버그가 어떻게 그 시스템에 드로퍼를 투하했는지에 대해서는 알아내지 못했다고 덧붙였다.

오브라이언은 “소버그 공격의 출처를 파악하는 데 필요한 어떤 기술적인 요소나 운영상의 요소도 식별할 수 없었다”면서 “목표물이 정부 차원에서 관심이 갈만한 것들이고, 공격에 사용된 멀웨어가 정부 지원을 받는 공격자들이 개입됐다고 추정될 정도로 매우 정교한 수준이라는 사실에 대해서는 밝힐 수 있다”고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)