세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
러시아의 해킹 그룹 소파시, 활동 영역을 동쪽으로 넓힌다
  |  입력 : 2018-02-21 15:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
NATO와 우크라이나 주로 공격하던 그룹, 중동과 중앙아시아도
새로운 툴도 등장...앞으로 더 많은 공격 이어질 것으로 예상


[보안뉴스 문가용 기자] 러시아 정부와 연루된 사이버 스파이 그룹 소파시(Sofacy)가 공격 대상을 넓혔다는 소식이 카스퍼스키로부터 발표됐다. 소파시는 APT28, 팬시 베어(Fancy Bear), 폰스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium)이라는 이름으로도 알려져 있다.

[이미지 = iclickart]


“그 동안 소파시는 NATO 회원국들과 우크라이나를 집중적으로 공격했습니다. 하지만 최근부터는 중동 및 중앙아시아 국가들과 그 동쪽에 있는 아시아 국가들까지도 공격하기 시작했습니다.” 카스퍼스키의 발표 내용이다.

소파시는 2016년 미국 대선에 여러 해킹 기술과 전략을 동원해 영향을 미쳤다고 여겨지는 그룹이다. 또한 과거 우크라이나 정전 사태 때도 이름이 오르내렸다. 2017년 초반에는 NATO 국가들이 집중적인 공격을 받았으며, 제로데이 익스플로잇까지도 동원했다. 그 외 지역에 있는 국가들이 공격받은 사례가 없던 것은 아니었지만 그리 흔한 경우도 아니었다.

2017년 중반 무렵부터 소파시 그룹이 주로 사용하든 백도어가 SPLM, CHOPSTICK, X-Agent로 탐지되기 시작했다고 카스퍼스키는 설명한다. 이는 중앙아시아에 있는 옛 소비에트 국가들에 대한 공격을 뜻한다는 해석도 덧붙였다. 특히 통신사들, 국방과 관련된 조직들이 공격 대상이었다고 한다. “터키, 카자흐스탄, 아르메니아, 키르기스스탄, 요르단, 우즈베키스탄이 주요 피해 국가”로 꼽혔다.

SPLM과 제브로시(Zebrocy)라는 툴은 2017년 2사분기와 4사분기에 옛 소련 연방 국가들만이 아니라 동아시아 지역에서도 눈에 띄게 등장하기 시작했다. 카스퍼스키가 조사한 바에 따르면 해당 기간 동안 이 두 가지 툴(혹은 멀웨어)이 급증한 나라는 중국, 몽골, 한국, 말레이시아다.

제브로시는 피해자로부터 정보를 수집하는 툴로 과거에도 여러 유형의 조직들을 공격하는 데에 활용됐다. 위에 언급된 피해 국가들의 회계 업체, 과학 및 엔지니어링 센터, 산업 조직, 정부 보직, 대사관, 영사관, 국가 보안 센터, 첩보 기관, 미디어, 통번역 관련 기업, NGO 등 다양한 곳이 제브로시에 당했다.

그러나 소파시의 공격 기법이나 인프라가 크게 바뀐 건 아니라고 카스퍼스키는 설명한다. “이들이 사용하는 공격 방법은 1년 내내 비슷합니다. 따라서 소파시의 테크닉과 패턴이라는 것들 대부분 공개된 것들이고요.” 그러나 그건 표적이 NATO와 우크라이나에 한정되어 있다시피 했기 때문이라고 카스퍼스키는 설명을 잇는다. 즉 표적이 확대되었으므로 공격 인프라나 기법 역시 조만간 바뀌지 않겠느냐는 것이다.

“소파시는 현재 사이버전을 수행하고 있는 사이버 단체 중 가장 활발하다고 볼 수 있습니다. 스피어피싱을 통해 표적을 감염시키거나 정찰하고, 꽤나 광범위한 공격을 조용히 성공시키는 데 능숙하죠.” 카스퍼스키의 수석 보안 전문가인 커트 봄가트너(Kurt Baumgartner)의 설명이다.

“저희가 획득하고 수집한 자료에 의하면 2017년 한 해 동안 이 고차원의 해킹 그룹은 표적을 점진적으로 확장시켰습니다. NATO 국가 및 우크라이나에서 처음에는 중동 쪽도 건드리기 시작했습니다. 그러면서 기존 툴을 조금 바꾸거나 새로운 툴셋을 가져왔어요. 약간의 실험 기간이었던 것도 같습니다. 그리고는 중앙아시아를 지나 계속해서 동쪽으로 공격 범위를 확대하더군요.”

앞으로 소파시의 활동이 더 활발해질 것으로 카스퍼스키는 보고 있다. “소파시의 활동이 탐지되기 시작한다면, 그 지역에 있는 조직들은 로그인과 관리자의 비정상적인 활동들을 눈여겨봐야 합니다. 그리고 스캐닝을 좀더 자주 하고, 샌드박스를 통해 첨부파일을 확인하는 것도 좋은 방법입니다. 평소 들어오는 첩보들 사이의 연관성도 깊이 파헤쳐봐야 하겠고요. 관련이 없어 보이는 사건들 속에서 소파시에 대한 힌트를 찾아낼 수도 있습니다.”

보다 상세한 보고서는 여기(https://securelist.com/a-slice-of-2017-sofacy-activity/83930/)를 통해 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)