레바논의 스파이 그룹, 다크 카라칼이 안드로이드 노린다

레바논의 스파이 그룹, 안드로이드와 데스크톱으로 정보 수집
모바일 환경, 해커들의 활동 무대로서 점점 더 인기가 높아지고 있어

[보안뉴스 문가용 기자] 레바논의 첩보 기관에 소속된 한 건물에서 활동하는 APT 단체 다크 카라칼(Dark Caracal)이 안드로이드 기기들을 통해 수백 기가바이트의 정보를 훔쳐낸 사실이 발각됐다. 이들이 노린 건 안드로이드 기기들과 데스크톱으로 약 20개국에 걸쳐 피해자들을 만들어왔다고 한다.

[이미지 = iclickart]

피해자들은 주로 국방 관계자들, 정부 및 군부대 요원들, 활동가 및 기자들이었다. 북미, 유럽, 아시아 지역에서 주로 이러한 정보 수집 및 감시 활동이 벌어졌다. 이러한 사실을 보안 업체 룩아웃(Lookout)과 전자프런티어재단(Electronic Frontier Foundation)이 세상에 알렸다.

룩아웃과 EFF에 의하면 다크 카라칼은 전 세계적으로 여러 플랫폼들을 노리고 공격을 실시하지만, 그 무엇보다 모바일 기기를 집요하게 파고든다고 한다. “전 세계적인 범위로 모바일 기기들을 노려 스파이 행위를 하는 공격자는 사례가 없다시피 합니다. 그러므로 모바일 기기에 대한 각별한 주의가 요구됩니다.”

룩아웃의 수석 연구원인 마이클 플로스만(Michael Flossman)은 “현재까지 조사된 바에 의하면 다크 카라칼이 활동을 시작한 건 2012년 경으로 보인다”고 설명한다. “또한 2016년 가을과 겨울철부터 2017년까지도 활동을 지속했습니다. 하지만 지금 다크 타라칼의 주요 인프라 대부분은 없어진 상태입니다.”

다크 카라칼이 아니더라도 사이버 공격자들 사이에서 모바일 기기를 공격하는 행위는 최근 크게 증가하고 있다. “왜냐하면 모바일 기기에 개인정보는 물론 기업 정보들까지 저장되어 있는 경우가 많고, 보안 수준은 PC의 그것보다 낮기 때문이죠.” 플로스만의 분석이다. “안드로이드는 특히나 공격자들 입장에서는 더 쉬운 환경이 되어줍니다. 높은 수준의 기술을 요구하지 않습니다.”

룩아웃과 EFF는 다크 카라칼 공격의 IoC를 90개 이상 발표했다. 이 중 11개가 안드로이드에 해당되고 26개는 윈도우, 리눅스, 맥을 기반으로 하는 데스크톱에서 나오는 것이다. “안드로이드 기기에 트로이목마로 변형시킨 인기 앱을 설치하는 방법으로 공격합니다. 왓츠앱(WhatsApp)이나 시그널(Signal) 등 널리 쓰이는 앱을 조작해서 설치하도록 유도하는 것이죠. 즉, 피해자의 실수가 있어야만 공격이 성립되는 겁니다.”

다크 카라칼은 주로 위치 정보나 통화 기록, 문자 메시지, 연락처 정보, 사진, 음성 녹음 파일을 훔쳐냈다. 사용한 멀웨어의 이름은 팔라스(Pallas)로 자체 개발한 안드로이드 감시 툴이다. 여기에 감시 툴 제작을 합법적으로 하는 논란의 소프트웨어 업체 핀피셔(FinFisher)로부터 구매한 솔루션들도 함께 사용한다.

주요 공격 전략은 피싱이다. 플로스만은 “페이스북 내에서 활동하는 여러 그룹들을 발견해냈고, 문자 메시지를 보내 특정 사이트에 접속하도록 유도해냈다는 것도 알아냈다”고 설명한다. “그렇게 꼬드겨서 공식 앱 스토어가 아닌 곳으로부터 왓츠앱 등의 앱을 받아 설치하도록 하는 것이죠. 물론 이 앱들은 다크 카라칼이 조작해놓은 것이고요.” 어떤 경우 다크 카라칼이 물리적인 접근을 통해 악성 멀웨어를 심은 경우도 있다.

멀웨어를 대대적으로 노리는 것이 다크 카라칼의 특징이라고는 하지만 윈도우와 리눅스 등이 설치된 데스크톱도 이들의 공격 대상이다. 이 경우 다크 카라칼이 사용하는 건 밴둑(Bandook)이라는 트로이목마다. 윈도우 데스크톱 시스템을 침해해 원격에서 조정하는 멀웨어다. 그 다음으로는 윈도우와 OS X, 리눅스 모두에서 사용될 수 있는 크로스랫(CrossRAT) 멀웨어라고 한다.

다크 카라칼의 또 다른 특징은 사이버 범죄자들이 흔히 사용하는 인프라를 고루 사용한다는 것이다. “그래서 특정 범죄에 대해 이들을 지목하는 게 매우 어렵게 됩니다. 상호 간에 전혀 상관이 없는, 별개의 사건들로 보이는 것이죠. 실제로 많은 보안 전문가들이 다크 카라칼을 여태껏 놓쳐온 게 이 때문입니다.”

다크 카라칼의 공격에 모든 사람이 위협을 느낄 필요는 없다. 왜냐하면 “표적형 공격을 주로 실시하기 때문”이다. “또한 정보 보안의 기본적인 실천사항을 지키지 못한 사람들만 당하기도 하죠. 서드파티 앱 스토어에서 아무 앱이나 받아서 설치하지 않는다면 공격에 받을 일이 없습니다.”

하지만 사이버 스파이 행위를 하는 데에 있어 국가의 구분이 따로 없다는 것을 기억해야 한다고 EFF는 강조한다. “사실상 모든 국가가 서로를 감시하고 있습니다. 이러한 행위는 점점 더 늘어날 것입니다. 그러한 상황에서 모바일은 스파잉을 위한 새로운 환경이 되어가고 있죠. 이 점을 예의주시해야 할 것입니다.”

아직까지 다크 카라칼이 iOS를 노린 흔적은 나타나지 않았다. 플로스만은 “아직 iOS까지 노리지 않아도 충분하다는 뜻”이라고 설명한다. “안드로이드와 데스크톱만 노려도 충분히 성공적이라는 뜻인데, 이는 곧 많은 사람들이 보안 실수를 저지른다는 뜻입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)