세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
중동에서 심화되고 있는 머디워터 공격, 배후와 이유는?
  |  입력 : 2017-11-17 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
맞춤형 악성 파일 제작한 공격, FIN7이 배후 세력으로 지목되기도
팔로알토, “FIN7 아니다” 주장...사이버 공격의 배후와 동기 파악 어려움 시사


[보안뉴스 문가용 기자] 중동의 단체들을 겨냥한 지속적인 표적 공격에 대한 소식이 종종 전달되고, 여러 보안 전문가들이 분석과 추적을 하지만 공격자를 밝혀낸다는 것이 절대 쉽지 않다고 팔로알토 네트웍스(Palo Alto Networks)가 이번 주 발표했다. 그래서 팔로알토 측은 이러한 공격을 ‘진흙탕’이라는 뜻의 머디워터(MuddyWater)라고 이름 붙였다.

[이미지 = iclickart]


물론 머디워터라는 것이 중동 단체들을 겨냥한 모든 공격을 다 아우르는 말이 아니다. 올해 2월부터 10월 사이에 발생한 각종 공격들을 지칭하는 것이라고 팔로알토는 밝힌다. “공격에 동원된 악성 문서의 종류가 정말 다양했습니다. 공격받은 단체가 중동에만 있는 것도 아니다. 사우디아라비아, 이라크, 이스라엘, UAE, 조지아, 인도, 파키스탄, 터키, 미국 등 다양하다.

이렇게 무차별적으로, 수개월에 걸쳐 일어나는 머디워터 공격은 파워스태츠(POWERSTATS)라는 1단계 침투용 백도어로부터 시작된다. 이 백도어는 악성 문서를 통해 퍼지는데, 처음에는 사우디아라비아 정부들을 노리고 벌어진 해킹 사고 때 주로 발견됐다. 하지만 2월과 10월 사이 이 문건들은 각 지역의 사정에 맞게 ‘맞춤형’으로 변하여 배포되기 시작했다. 각 정부의 로고 등도 섞여 있어 제법 진짜 문건처럼 보이기도 했다.

문서들 자체는 보안 업체 모피섹(Morphisec)이 추적하던 FIN7의 파일레스 공격에서 발견된 것들과 유사하다. 그래서 당시 모피섹은 이 공격을 해킹 그룹 FIN7과 연관 짓기도 했다. 그러므로 팔로알토가 “머디워터 공격의 배후를 알아내기가 어렵다”고 한 건 이 FIN7과의 연결이 부정확할 수도 있다는 뜻이 된다.

악성 문건의 배포 전략 혹은 문건 자체는 그때 그때 달라지기도 했다. 하지만 결국에는 파워스태츠라는 페이로드가 등장함으로써 본격적인 공격이 시작됐다. 또한 조금씩 다른 문건과 공격 방식이라도 같은 C&C 인프라를 사용하고 있어, 겉으로 보기엔 달라보여도 결국 같은 공격자가 배후에 있는 것이 유력해 보인다. 팔로알토는 그래서 이 C&C 인프라에 속한 서버들과 침해된 사이트, 관련성 있는 파일들의 목록을 공개했다.

또한 머디워터 공격자들은 미터프리터(Meterpreter), 미미캐츠(Mimikatz), 라자냐(Lazagne), 인보크옵퓨스케이션(Invoke-Obfuscation) 등 다양한 오픈소스를 활용하는 것으로도 나타났다. 심지어 깃허브(GitHub) 등 여러 웹사이트에 계정을 만들거나 침해해 파워스태츠를 뿌리는 호스팅 사이트로서 활용하기도 했었다. 일부 악성 문건의 경우 공격을 받은 자가 1년 전에 받았던 정상 문서와 똑같기도 했다. 즉 머디워터 공격자들이 사용자의 이메일 계정도 미리 침해했을 가능성이 높아 보인다.

팔로알토가 이러한 공격의 배후 세력으로 FIN7을 꼽는 게 부정확하다고 말하는 이유가 있다. “FIN7은 금전적인 목적으로 공격을 감행하는 경우가 많습니다. 그리고 보통 요식업체, 서비스 산업, 금융 산업 단체들을 노리죠. FIN7이 중동의 단체들을 노렸다는 것 자체가 매우 어색한 결론입니다. 가능성이 0이라는 건 아닙니다만, 머디워터를 파헤치는 데에 있어 혼란을 야기할 확률이 더 높습니다.”

또한 FIN7이 흔히 사용하는 멀웨어들이 이번 머디워터 공격에서는 발견되지 않았다는 점도 팔로알토는 지적한다. “사이버 공격자들은 추적을 따돌리기 위해 기존 그룹이 사용했던 C&C 인프라를 따라서 사용하기도 하고, 자기들에게 생소한 멀웨어를 활용하기도 합니다. 사이버 범죄에 있어서 다른 단체를 흉내 내는 게 그리 어려운 일은 아닙니다. 특히 대대적으로 보고서가 나오고 헤드라인에 자신의 이름이 등장하기 시작하면 이러한 작업도 시작하죠.”

팔로알토는 “지금으로서 확실하게 말할 수 있는 건 머디워터 공격자들이 FIN7과 관련이 없다는 것”이라고 말한다. “하지만 그렇다고 해서 다른 의문들이 해결되는 건 아닙니다. 저희도 아직 모르는 게 많습니다. 지금 찾아내야 하는 건 공격자의 정체와 그들이 노리는 정보가 무엇인가 하는 겁니다.”

팔로알토가 “아무 답도 얻지 못했다”라는 허무한 결론을 보고서로까지 발표한 것의 시사점은 무엇일까? “그래서 누가 했는데?”라는 질문에 맞춘 사이버 사고 수사가 오히려 진실을 파헤치는 데 방해가 될 수 있다는 것이다. 공격을 탐지하고, 이를 분석해 찾아내는 것도 보안 업체들 간 경쟁 구도 안에서 이뤄지다보니, 마치 소프트웨어 개발을 빨리 빨리 해내려다가 취약점만 잔뜩 발생시키는 것과 비슷한 결과를 낳을 수 있다.

사이버 사건이 발생했을 때 공격자를 밝히는 게 어렵지만, 경쟁 시장에서 누구보다 먼저 보고서를 작성해 발표하려면 용의자 정도는 적어내야 한다는 강박관념이 보안 업계들 사이에 알게 모르게 고충처럼 퍼져있다.

공격자의 신원과 공격 동기를 파악하는 게 너무나 어렵다는 토로가 담긴 이번 보고서는 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#진흙탕   #머디   #워터   #중동   #FIN7   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)