세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
VPN필터 도메인 빠르게 확보한 FBI, 발표 내용에서 의문 제기돼
  |  입력 : 2018-05-29 16:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 사법부, “러시아가 벌인 짓”이라고 빠르고 명확하게 밝혀
발표 내용 중 기존에 알던 것과 다른 내용 있어 위문 제기되기도


[보안뉴스 문가용 기자] 지난 주 발견된 대규모 봇넷 VPN필터(VPNFilter)에 대해 FBI가 발표한 바에 따르면 1) 약 50만 대의 기기로 구성되어 있고, 2) 러시아가 배후에 있다고 한다. 최초 발견자인 시스코 탈로스 팀 역시 50만대라는 숫자를 언급했고 러시아와의 관련성을 말했지만 직접적으로 러시아를 지목하지는 않았었다. 한편 이 봇넷은 54개국에 걸쳐 퍼져있는 것으로 알려졌다.

[이미지 = iclickart]


러시아가 배후 세력으로 지목되거나 언급된 이유는 여러 가지다.
1) 감염된 기기 대부분이 우크라이나에 있다.
2) 이 장비들을 움직이는 C&C 서버도 우크라이나에 있다.
3) 이전 우크라이나 정전 사태를 일으킨 블랙에너지(BlackEnergy)라는 멀웨어와 유사한 부분이 있다.
4) 우크라이나 제헌절이 코앞에 다가와 있는 시점이다. 작년 제헌절에는 낫페트야(NotPetya)가 우크라이나를 덮쳤었다.

또한 시스코 탈로스 팀이 VPN필터에 대한 발표를 하고 나서 얼마 지나지 않아 미국 사법부는 “FBI가 toknowall.com이라는 도메인을 확보하는 데 성공했다”고 발표했다. 이는 VPN필터의 C&C로 활용되고 있었던 도메인이다. 그러면서 러시아의 공격 그룹인 소파시(Sofacy)가 연루되어 있다는 내용도 사법부가 직접 언급했다. 또한 소파시가 사실은 APT28, 폰스톰(Pawn Storm), 팬시 베어(Fancy Bear), 세드닛(Sednit), 엑스에이전트(X-Agent), 샌드웜(Sandworm) 등으로 불린 단체라고도 밝혔다.

샌드웜은 일부 보안 업체가 텔레봇츠(TeleBots)라고도 부르는 공격 단체로, 블랙에너지(BlackEnergy)라는 멀웨어를 사용하는 것으로도 알려져 있다. 블랙에너지는 2015년 대규모 우크라이나 정전 사태를 일으킨 멀웨어다. 또한 소파시와 샌드웜은 여태까지 별개의 그룹으로 알려져 있었다. 그렇기에 사법부의 발표 내용은 흥미를 끌 수밖에 없었다. FBI 답지 않게 빠르게 수사 진행 상황에 대한 발표를 한 것인데, 일을 졸속으로 처리하는 것 아니냐는 의문이 제기되기도 한 것이다.

시스코 탈로스 팀의 연구 조사 책임자인 크레이그 윌리엄즈(Craig Williams)는 이에 대해 “샌드웜과 APT28의 관심거리 혹은 공격 대상이 겹치기 때문에 둘 사이에 어느 정도 연관성이 있긴 할 것”이라고 설명했다. 시만텍의 비크람 타쿠르(Vikram Thakur) 책임 연구원은 “범인을 정확히 지목하고 사건에 대한 귀속성을 결부 짓는다는 건 결국 ‘가능성이 높은 자를 지목하는 것’이기 때문에 항상 정확할 수는 없고, 회사와 조직들마다 ‘추측 자료’를 내놓는 것일 뿐”이라고 말한다.

“또한 공격자들 사이에는 활발한 정보와 노하우 공유가 존재합니다. 자원도 함께 쓰는 경우를 봤습니다. 그러므로 소파시와 샌드웜이 친한 그룹이거나 심지어 같은 그룹이라고 해도 이상할 것은 없습니다.”

카스퍼스키(Kaspersky)는 “FBI가 샌드웜과 소파시를 한 개의 단체로 봤다는 게 조금 이상하다”고 말한다. “아마도 FBI는 소파시라는 커다란 공격 단체의 하위 조직으로서 샌드웜을 분석하고 있는 것 같습니다. 하지만 보안 업계는 전통적으로 둘을 별개의 조직으로 파악하고 있었습니다.”

한편 FBI는 이에 대해 별다른 입장 표명을 하거나 매체의 질문에 답하지 않은 것으로 알려져 있다. 다만 “링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(Netgear), TP링크(TP-Link), 큐냅(QNAP) 등의 장비를 가진 사용자들은, 전원을 껐다 켜고, 최신 펌웨어를 설치하라”고 권장했다.

현재까지는 VPN필터가 제로데이 취약점을 익스플로잇 하는 것으로 보일 만한 정황은 없었다. 또한 위에 언급된 제조사들은 이번 사안을 전부 보고 받았고, 패치를 하나 둘 배포하기 시작했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)