세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
2018년 주목해야 할 정부지원 해킹그룹 8
  |  입력 : 2018-02-17 13:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
팬시 베어, 라자루스, 블루노로프, 털라,
샌드웜, 스카크러프트, APT29, APT35


[보안뉴스 오다인 기자] 위협 지형은 변한다. 위협 행위자들은 전략과 타깃, 툴을 계속해서 바꾸기 때문에 일반 조직들은 ‘선수들’의 움직임을 파악하는 것조차 불가능하다고 느낀다. 특히, 각국 정부가 지원하는 해킹 그룹들은 거대한 위협으로 다가온다.

[이미지=iclickart]


사이버 공격이 집중되는 지역에는 공격이 더욱 집중되고 있다. 악명 높은 공격자들 역시 세력을 더욱 키우는 중이다. ‘APT28’ 또는 ‘소파시(Sofacy)’로 알려진 팬시 베어(Fancy Bear)가 그 대표적인 예다. 러시아를 포함한 동유럽 지역에서 활동하는 해킹 그룹은 많지만 그 중에서도 팬시 베어는 러시아 군사정보기관 GRU 소속의 해킹 그룹으로 추정된다.

보안업체 파이어아이(FireEye)의 첩보 분석 이사인 존 훌트퀴스트(John Hultquist)는 “지금 가장 유명한 해킹 그룹은 아마 팬시 베어일 것”이라고 말했다. 그는 팬시 베어가 올 한해 매우 노골적으로 활동할 것이라고 전망했다. 보안 전문가들은 2018년 주목해야 할 가장 두드러진 해킹그룹으로 팬시 베어를 꼽았다. 팬시 베어는 점점 더 많은 기업들을 타깃으로 겨누는 중이다.

사이버 공격에 있어서 북한도 빼놓을 수 없다. 북한 정권은 자신들의 사이버 역량과 해킹 그룹에 상당한 자원을 투자해 왔다. 북한 정권이 지원하는 해킹 그룹은 그 유명한 소니(Sony) 사건부터 워너크라이(WannaCry), 암호화폐 채굴까지 수많은 공격들과 결부돼 왔다.

여기에서는 현재 보안 연구자들이 가장 주목하고 있는 정부 지원 해킹 그룹 8개를 추려 소개하고자 한다. 그들을 무엇이라고 부르는지, 출신 국가는 어디인지, 어떻게 움직이고 있는지, 과거에 수행한 공격에는 어떤 것들이 있는지, 공격 전략을 어떻게 바꾸고 있는지 등을 간략히 정리해봤다.

1) 팬시 베어(Fancy Bear)
가명: APT28, 소파시(Sofacy), 스트론티움(Strontium), 세드닛(Sednit)

출신 국가: 러시아로 추정됨

주요 타깃: 과거에는 세계 각국의 대사관과 미국을 공격했지만 지금은 주로 유럽의 정부부처들을 공격하고 있다. 보안업체 카스퍼스키 랩(Kaspersky Lab)의 수석 연구자 브라이언 바르톨로메오(Brian Bartholomew)에 따르면, 팬시 베어는 자체적인 정책에 근거해 공격을 펼치며 북대서양조약기구(NATO)와 관련된 모든 사안에 관심을 보인다. 팬시 베어의 가장 최근 관심사는 올림픽이라고 바르톨로메오는 덧붙였다.

공격 유형: 가장 잘하는 건 스피어 피싱이다. 바르톨로메오는 대부분의 해킹 그룹에서 스피어 피싱을 주로 사용한다고 설명했다. 팬시 베어는 여러 개의 하위 그룹으로 쪼개져서 공격의 일부분들을 각기 담당하게 된다. 하위 그룹 중 하나는 가능한 한 많은 타깃을 대상으로 피싱 공격을 펼치는 데 집중한다. 이 그룹이 피싱에 성공하면, 다음 하위 그룹이 공격을 진행시키기 위해 툴셋을 활용하기 시작하는 식이다.

팬시 베어는 공격 시 소셜 미디어를 활용하면서 허위 사실을 퍼뜨리는 것으로도 알려져 있다고 바르톨로메오는 말했다. 예컨대, 팬시 베어는 반도핑(anti-doping) 행정 시스템을 해킹하고 데이터를 조작해 기자들에게 주입하려고 했다는 것. 일부는 이 사건을 팬시 베어와 연관시키지 않지만 “카스퍼스키 랩은 팬시 베어의 짓이 맞다고 본다(pretty certain)”고 그는 지적했다. 보안업체 이셋(ESET)의 보안 첩보 팀장인 알렉시스 두레이스 존카스(Alexis Dorais-Joncas)에 따르면, 팬시 베어의 툴킷은 계속해서 진화하는 한편으로 ‘엑스에이전트(XAgent)’라고 불리는 백도어가 그 핵심에 있다.

관련 공격: 미국 민주당(DNC) 공격, 국제육상경기연맹(IAAF) 공격, 독일 의회 공격. 특히, 2016년 미국 대선에 영향을 끼친 것으로 알려져 있음.

훌트퀴스트는 “팬시 베어의 공격에서 가장 놀라운 점은 숱한 혐의와 사실들이 지속적으로 제기됨에도 공격의 강도를 전혀 낮추지 않는 것”이라고 짚었다. 훌트퀴스트는 올림픽과 선거 중에 팬시 베어의 활동량이 커질 것이라고 예측했다. 또한, 그는 “팬시 베어가 국제적인 규범들을 무시함과 동시에 우리가 감히 넘을 수 있다고 상상조차 하지 못했던 선들을 자신들은 끝내 넘을 수도 있다는 의지까지 내비쳤다”고 경고했다.

2) 라자루스 그룹(Lazarus Group)
가명: 다크서울(DarkSeoul), 허밋(Hermit)

출신 국가: 북한으로 추정됨

주요 타깃: 남한, 미국, 현금 확보 목적의 금융기관 공격

주목할 점: 훌트퀴스트는 “북한의 해킹 그룹이 하나 이상 존재하는 것으로 추정된다”고 말했다. 북한은 그들이 움직이는 방식 때문에 세부적인 그룹들로 쪼개서 살펴보는 것이 어렵다. 북한에서 나오는 인터넷 스트림이 많지 않기 때문에, 북한 내의 여러 해킹 그룹의 활동은 한꺼번에 엉켜서 나타나는 경우가 이따금씩 발생한다.

공격 유형: 바르톨로메오는 북한의 해킹 그룹들이 소셜 미디어 공격에 능하다고 지적했다. 이 공격자들은 대개 페이스북 메신저, 링크드인, 트위터, 기타 플랫폼에서 이용자를 노린다. 바르톨로메오는 이들이 “누구를 공격할지 파악하는 과정에서 사회공학적 공격에 많은 공을 들일 것이고, 이후 천천히 그들의 뒤를 쫓을 것”이라고 바라봤다.

훌트퀴스트는 “돈 때문에 벌이는 공격에는 끝이 없다”고 말했다. 금전적인 동기에서 감행되는 공격은 “세계적인 현상이고 그 규모도 수백만 달러에 이른다”는 것. 그는 이 같은 공격이 “수억 달러가 달려 있는 일”이라고 덧붙였다. 정부가 지원하는 해킹 그룹들은 보통 간첩 활동이나 파괴 등의 활동에 움직임을 국한시킨다. 금전적인 동기에서 추가적으로 감행하는 사이버 범죄는 북한 해킹 그룹만의 독특한 특징으로 보인다. 라자루스 그룹은 소니(Sony)를 겨냥한 대규모 데이터 파괴 및 신상털기(doxing) 공격의 배후로 지목된다. 또한, 하위 그룹 중 하나는 암호화폐 거래소 및 SWIFT 뱅킹 네트워크 공격과도 관계가 있다고 지목돼 왔다.

3) 블루노로프(Bluenoroff, 라자루스의 하위 그룹)
출신 국가: 북한으로 추정됨

주요 타깃: 금융기관

공격 유형: 바르톨로메오는 블루노로프가 “한 마디로 사이버 세계의 물주”라고 축약했다. 블루노로프는 라자루스 그룹의 하위 그룹으로, 금융기관만 공격한다. 블루노로프의 목표는 암호화폐를 확보해서 다른 공격들의 자금줄을 대는 것이다.

관련 공격: 악명 높은 암호화폐 해킹 사건들과 관련된다. 특정 거래소에서 상당량의 돈을 빼돌린 사건, SWIFT 네트워크를 겨냥한 공격 등의 배후로 지목된다. 보안 연구자들은 이 같은 활동이 지속될 것으로 전망하고 있다. 특히, 북한 정부 및 경제에 대한 제재가 심화함에 따라 이런 공격이 확대될 것으로 추정된다. 바르톨로메오는 “(국제 사회의) 제재는 계속해서 강화될 것이고, 블루노로프는 돈을 마련하기 위해 점점 더 왕성하게 움직일 것”이라고 설명했다.

▲2018년 주목해야 할 정부지원 해킹그룹 8개 [표=보안뉴스]


4) 털라(Turla)
가명: 스네이크(Snake), 베노머스 베어(Venomous Bear), 워터버그(Waterbug)

출신 국가: 동유럽으로 추정됨

주요 타깃: 두레이스 존카스에 따르면, 털라는 대개 카자흐스탄이나 투르크메니스탄 같은 구소련 국가들, 그리고 모스크바에 있는 대사관들을 노린다. 또한 동유럽의 외교관들, 세계 각국의 영사관들, 유럽 국가의 외교 부처, 미국 국무부 등을 공격하기도 한다.

공격 유형: 털라는 사회공학적 공격으로 타깃에게 멀웨어를 깔게 하는 것으로 유명하다. 털라 공격자들은 워터링홀(watering hole) 공격 수법을 쓰기도 한다. 바르톨로메오는 털라가 전략을 그다지 자주 바꾸는 편이 아니기 때문에 워터링홀 공격이 계속될 것이라고 전망했다. 바르톨로메오에 따르면, 털라는 매년 단 몇 회만 공격 수법을 바꾸며, 2017년에는 거의 바꾸지 않았다고 설명했다.

“지금까지 가짜 플래시 업데이트, 즉 멀웨어에 감염된 플래시 업데이트가 어도비 서브도메인에서 얼마나 많이 뿌려졌는지 목격하지 않았습니까? 심지어 이때 어도비 서브도메인은 정상적인 CDN IP 주소를 가리키고 있었습니다.” 두레이스 존카스는 어도비가 악성 파일에 의해 공격당하거나 악성 파일을 배포한 사실이 없다고 공식 발표한 점을 언급하면서 이 같이 말했다. 털라는 자신들의 백도어 중 하나를 정상적인 어도비 플래시 인스톨러에 결합시킨 뒤, 이를 실제 어도비 URL과 IP 주소에서 다운로드 받게 만들었다. 그런 다음, 감염된 기기의 민감한 정보를 정상적인 어도비 URL로 리턴시키도록 조작했다.

털라는 꽤 오랜 기간 존재해온 해킹 그룹이지만 숨죽이고 있다가 2017년에 들어서야 활동량을 높이기 시작했다. 작년 여름, 털라는 알려지지 않은 백도어를 사용해 각국 대사관과 영사관을 염탐하기 시작했다. ‘화이트 베어(White Bear)’로 알려진 별개의 공격은 털라 프로젝트인 ‘화이트 아틀라스(White Atlas)’의 두 번째 단계로 추정된다. 이런 공격들로 털라는 웹사이트와 인공위성 연결을 탈취한 뒤 자신들의 명령 및 제어(C&C) 인프라를 구성했다. 당시 여름이 지나고 연구진은 털라가 ‘코피루왁(KopiLuwak)’이라는 알려진 백도어로 G20 참가자 및 이해관계자(정책 입안자, 국가 수장, 기자 등)들을 겨냥하고 있다는 사실을 포착했다.

5) 샌드웜(Sandworm)
가명: 블랙에너지(BlackEnergy), 일렉트럼(Electrum), 이리디움(Iridium)

출신 국가: 동유럽으로 추정됨

주요 타깃: 우크라이나

공격 유형: 샌드웜은 공격 시 모습을 드러냈다가 재빨리 사라지는 것으로 알려져 있다. 이들의 주요 타깃은 우크라이나다. 전문가들은 샌드웜이 올해 공격량을 늘릴 것이라고 보고 있다. 훌트퀴스트는 샌드웜이 스피어 피싱을 빈번하게 활용하며, 최근에는 타깃 기반을 확장하려는 차원에서 공급망을 노리기 시작했다고 말했다. 우크라이나는 ICS/SCADA 공격의 주요 타깃이 돼 왔지만, 샌드웜이 그 공격 범위를 확장시킬 가능성도 항상 존재한다. 과거 샌드웜은 미국 유틸리티 시스템을 겨냥해 공격의 기회를 엿보기도 했다.

훌트퀴스트는 “샌드웜의 활동량이 줄지 않고 있다는 점을 고려할 때, 이들이 우크라이나 밖으로 공격을 확대시켜나갈 위험이 점차 커지고 있다”고 경고했다. 그는 이것이 “전 세계 기업들에 심각한 영향을 미칠 수 있는 일”이라고 덧붙였다.

관련 공격: 2015년 12월 및 2016년 12월에 발생한 우크라이나 전력망 공격. 훌트퀴스트 등 보안 연구진은 2017년 여름에 터진 낫페트야(NotPetya) 공격의 배후로 샌드웜을 지목하기도 했다. 낫페트야 공격은 역시 우크라이나를 주요 타깃으로 한 파괴성 공격이었다.

6) 스카크러프트(Scarcruft)
가명: 리퍼(Reaper), 그룹123(Group 123). 여기서 ‘리퍼’라는 가명은 동명의 사물인터넷 봇넷과 별개이므로 주의하자.

출신 국가: 북한으로 추정됨

주요 타깃: 남한 정부·군대·방위산업

공격 유형: 스카크러프트는 아직까지 별다른 움직임을 보이진 않았지만 서서히 그 위력을 나타내기 시작했다. 스카크러프트는 지금까지 그 정교함을 증명하지도 않았고, 한반도 밖으로 타깃을 확장하지도 않았다. 그러나 이제 스카크러프트는 최신 어도비 플래시 제로데이 공격에 연관되는 등 자신들의 역량이 확대되고 있다는 사실을 보여주고 있다. 훌트퀴스트는 스카크러프트가 전략적인 웹 공격을 수행해 왔으며, 특히 통일이나 탈북자 같은 북한 정권의 관심사와 연관되는 웹사이트들을 겨냥해온 사실이 확인됐다고 짚었다.

7) APT29
가명: 코지 베어(Cozy Bear), 코지 듀크(CozyDuke), 더 듀크스(The Dukes)

출신 국가: 동유럽 또는 러시아로 추정됨

주요 타깃: 서유럽 정부 및 외교 정책 부처, 또는 그 유사 조직. APT29는 싱크탱크와 시민단체(NGO) 또한 공격해 왔다.

공격 유형: APT29는 드물게 발생하지만 정상적인 트래픽처럼 보이는 통신을 가장해 피해자 네트워크에 숨어서 활동한다. 그리고 인기 있는 웹 서비스와 암호화된 SSL 연결의 이점을 최대한 활용한다. 보안업체 파이어아이(FireEye) 연구진에 따르면, APT29는 명령 및 제어(C&C) 통신을 위해 사전에 침해한 서버만을 사용하며, 자체적인 백도어를 통해 버그를 수정하고 새로운 기능을 추가한다.

또한, APT29는 트위터와 깃허브(GitHub) 같은 소셜 미디어 플랫폼과 클라우드 스토리지 서비스를 활용해 명령을 전달하고 침해한 네트워크에서 데이터를 전송받는다. 최근 몇 년간 스피어 피싱 캠페인으로 미국 정부를 겨냥하기도 했다.

관련 공격: 미국 대선과 관련된 공격, 미국 대선 후 이어진 스피어 피싱 공격, 미국 민주당(DNC) 해킹 공격

8) APT35
가명: 뉴스캐스터(Newscaster), 차밍 키튼(Charming Kitten)

출신 국가: 중동, 특히 이란으로 추정됨

주요 타깃: 전 세계를 아우르나 최근에는 중동, 그 중에서도 사우디아라비아와 이스라엘에 집중하고 있음

공격 유형: 훌트퀴스트는 “세계적인 사건들의 배후에 APT35가 있다”고 지적했다. 그는 “여러 파괴적인 사건들 사이에서 겹치는 점을 포착했지만 완벽하게 APT35를 연결시키는 건 어려웠다”고 설명했다.

APT35는 소셜 네트워크를 통한 사회공학적 공격에 집중한다. APT35 공격자들은 소셜 네트워크에서 허위의 인물을 만든 다음, 이를 활용해 기업 직원들에게 링크를 보내는 수법으로 기업 내에 침투한다. 기본적인 보안 기능이 내재된 이메일과 달리, 소셜 미디어는 모니터링 되는 수준이 낮고 기업들도 별다르게 통제하지 못한다. APT35의 타깃은 미국-이란 간 관계가 개선됨에 따라 바뀌어 왔지만 훌트퀴스트는 이들의 활동이 앞으로도 계속 나타날 것이라고 전망했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 7
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)