VPN필터 도메인 빠르게 확보한 FBI, 발표 내용에서 의문 제기돼

미국 사법부, “러시아가 벌인 짓”이라고 빠르고 명확하게 밝혀
발표 내용 중 기존에 알던 것과 다른 내용 있어 위문 제기되기도

[보안뉴스 문가용 기자] 지난 주 발견된 대규모 봇넷 VPN필터(VPNFilter)에 대해 FBI가 발표한 바에 따르면 1) 약 50만 대의 기기로 구성되어 있고, 2) 러시아가 배후에 있다고 한다. 최초 발견자인 시스코 탈로스 팀 역시 50만대라는 숫자를 언급했고 러시아와의 관련성을 말했지만 직접적으로 러시아를 지목하지는 않았었다. 한편 이 봇넷은 54개국에 걸쳐 퍼져있는 것으로 알려졌다.

[이미지 = iclickart]

러시아가 배후 세력으로 지목되거나 언급된 이유는 여러 가지다.
1) 감염된 기기 대부분이 우크라이나에 있다.
2) 이 장비들을 움직이는 C&C 서버도 우크라이나에 있다.
3) 이전 우크라이나 정전 사태를 일으킨 블랙에너지(BlackEnergy)라는 멀웨어와 유사한 부분이 있다.
4) 우크라이나 제헌절이 코앞에 다가와 있는 시점이다. 작년 제헌절에는 낫페트야(NotPetya)가 우크라이나를 덮쳤었다.

또한 시스코 탈로스 팀이 VPN필터에 대한 발표를 하고 나서 얼마 지나지 않아 미국 사법부는 “FBI가 toknowall.com이라는 도메인을 확보하는 데 성공했다”고 발표했다. 이는 VPN필터의 C&C로 활용되고 있었던 도메인이다. 그러면서 러시아의 공격 그룹인 소파시(Sofacy)가 연루되어 있다는 내용도 사법부가 직접 언급했다. 또한 소파시가 사실은 APT28, 폰스톰(Pawn Storm), 팬시 베어(Fancy Bear), 세드닛(Sednit), 엑스에이전트(X-Agent), 샌드웜(Sandworm) 등으로 불린 단체라고도 밝혔다.

샌드웜은 일부 보안 업체가 텔레봇츠(TeleBots)라고도 부르는 공격 단체로, 블랙에너지(BlackEnergy)라는 멀웨어를 사용하는 것으로도 알려져 있다. 블랙에너지는 2015년 대규모 우크라이나 정전 사태를 일으킨 멀웨어다. 또한 소파시와 샌드웜은 여태까지 별개의 그룹으로 알려져 있었다. 그렇기에 사법부의 발표 내용은 흥미를 끌 수밖에 없었다. FBI 답지 않게 빠르게 수사 진행 상황에 대한 발표를 한 것인데, 일을 졸속으로 처리하는 것 아니냐는 의문이 제기되기도 한 것이다.

시스코 탈로스 팀의 연구 조사 책임자인 크레이그 윌리엄즈(Craig Williams)는 이에 대해 “샌드웜과 APT28의 관심거리 혹은 공격 대상이 겹치기 때문에 둘 사이에 어느 정도 연관성이 있긴 할 것”이라고 설명했다. 시만텍의 비크람 타쿠르(Vikram Thakur) 책임 연구원은 “범인을 정확히 지목하고 사건에 대한 귀속성을 결부 짓는다는 건 결국 ‘가능성이 높은 자를 지목하는 것’이기 때문에 항상 정확할 수는 없고, 회사와 조직들마다 ‘추측 자료’를 내놓는 것일 뿐”이라고 말한다.

“또한 공격자들 사이에는 활발한 정보와 노하우 공유가 존재합니다. 자원도 함께 쓰는 경우를 봤습니다. 그러므로 소파시와 샌드웜이 친한 그룹이거나 심지어 같은 그룹이라고 해도 이상할 것은 없습니다.”

카스퍼스키(Kaspersky)는 “FBI가 샌드웜과 소파시를 한 개의 단체로 봤다는 게 조금 이상하다”고 말한다. “아마도 FBI는 소파시라는 커다란 공격 단체의 하위 조직으로서 샌드웜을 분석하고 있는 것 같습니다. 하지만 보안 업계는 전통적으로 둘을 별개의 조직으로 파악하고 있었습니다.”

한편 FBI는 이에 대해 별다른 입장 표명을 하거나 매체의 질문에 답하지 않은 것으로 알려져 있다. 다만 “링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(Netgear), TP링크(TP-Link), 큐냅(QNAP) 등의 장비를 가진 사용자들은, 전원을 껐다 켜고, 최신 펌웨어를 설치하라”고 권장했다.

현재까지는 VPN필터가 제로데이 취약점을 익스플로잇 하는 것으로 보일 만한 정황은 없었다. 또한 위에 언급된 제조사들은 이번 사안을 전부 보고 받았고, 패치를 하나 둘 배포하기 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)