Home > 전체기사

어쩌면 용병 산업 스파이? 새로운 APT 레드컬이 주는 의미

  |  입력 : 2020-08-14 17:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
레드컬이라는 신생 APT 단체 발각돼...2018년부터 활동한 것으로 보여
산업과 지역 불문하고 공격...가져가는 데이터조차 무작위...용병 해커들일 수도


[보안뉴스 문가용 기자] 새로운 APT 단체가 발견됐다. 이름은 레드컬(RedCurl)로, 최소 2018년부터 활동해 온 것으로 보인다. 이들이 주로 노리는 건 국제적 규모의 대기업들로 현재까지 최소 14곳이 이들의 공격에 당한 것으로 보인다. 기업 정보와 직원들의 개인정보가 다량 이들 손으로 넘어갔다고 한다.

[이미지 = utoimage]


산업별로는 표적을 크게 구분하지 않는 것으로 보인다. 현재까지 당한 업체들은 건축, 금융, 컨설팅, 도소매, 은행, 보험, 법, 여행 등 여러 산업에 걸쳐 나타났다. 지역별로는 러시아, 우크라이나, 영국, 독일, 캐나다, 노르웨이에 피해가 집중됐다. 레드컬을 처음 발견한 건 보안 업체 그룹IB(Group-IB)로, 레드컬이 러시아어를 구사하는 해커들로 구성되어 있는 것으로 보인다고 설명한다.

그룹IB가 레드컬에 대해 알게 된 건 2019년 여름의 일이다. 한 고객이 사이버 공격을 받았다고 알리면서였다. 공격을 분석하면서 정교한 스피어피싱 이메일을 발견했다. 표적 공격이라는 소리였다. 좀 더 조사를 해보니 공격자가 특정 부서만 집중적으로 노렸으며, 문건도 골라서 가져갔다는 걸 알 수 있었다. 피해를 입었던 그룹IB의 고객사에 대한 조사를 대단히 깊이 있게 진행했다는 뜻이다. “주로 인사부를 노렸고, 인사부 직원을 사칭했습니다. 거기서부터 다른 직원들과 부서들을 공략했습니다.”

그룹IB의 멀웨어 분석 팀장인 루스탐 미르카시모프(Rustam Mirkasymov)는 “공격자는 누가 이메일을 열어볼지 정확히 알고 있었다”고 말한다. “아마도 회사 전체의 조직도를 만들어 숙지했을 겁니다. 뿐만 아니라 메일을 보낼 때 부서 전체에 보내기도 했습니다. 그래야 서로 ‘이런 메일 왔냐?’고 확인하면서 의심의 수준을 낮출 수 있거든요.”

게다가 피싱 이메일의 내용도 조심스럽게 만들었다. 피해자 기업의 주소와 로고를 공식 문서처럼 썼을 뿐 아니라, 사칭하는 기업의 비즈니스 도메인도 표기했다. 그룹IB에 따르면 “조직들의 방어력을 시험하기 위해 레드팀들이 사용하는 소셜 엔지니어링 공격과 굉장히 흡사한 방법”이라고 말한다.

“이메일 본문에는 링크가 있습니다. 클릭하면 정상적인 클라우드 서비스에 연결이 됩니다. 하지만 다운로드 되는 건 Redcurl.Dropper라는 다운로더이죠. 이 다운로더만 설치되면 일단 공격자가 피해자의 네트워크에 발을 들이는 데 성공하는 것입니다. 보통 레드컬은 또 다른 파워셸(PowerShell) 기반 드로퍼를 다운로드 받습니다.”

미르카시모프는 “이 레드컬 공격자들이 클라우드 서비스를 사용했다는 것에 주목해야 한다”고 설명한다. “유명 클라우드 서비스들을 활용하기 때문에 피해자들의 보안 장치들을 피해갈 수 있습니다. 이들은 횡적으로 움직이거나 트로이목마를 사용하거나 RDP 커넥션을 활용하지 않습니다. 그러면 걸릴 수 있으니까요. 단순하게 링크를 보내고, 피해자가 클릭하기만을 기다릴 뿐입니다. 공격 프로세스를 대단히 깔끔하고 단순하게 만들어 놨어요. 탐지가 실제 어려운 것도 사실이고요.”

레드컬의 공격 행위는 표적에 따라 바뀌는 양상을 보여주기도 했다. 독일의 기업의 경우, 고위급 간부들에 스피어피싱 공격들이 전달됐다. 러시아와 캐나다의 경우 중간 관리자들이 표적이 됐다. 훔치는 데이터도 기업에 따라 달랐다. 어떤 기업에서는 계약서를, 어떤 기업에서는 금융 정보를, 어떤 기업에서는 개인정보를 집요하게 파고들었다. 법적 공방 진행 상황과 관련된 문건을 훔쳐간 사례도 있었다.

하지만 아직까지 다크웹에서 이러한 데이터가 거래되는 사례가 발견되지는 않았다. 아직까지 레드컬이 이 정보를 가지고 단순 판매용으로 활용하지는 않는 것으로 보인다. 미르카시모프는 “경쟁사 중 하나가 이들을 고용해 필요한 정보를 훔쳐낸 것이 아닐까” 추정하고 있다. “그렇기 때문에 피해자들이 소속된 산업이나 지역에 일관성이 없는 것이기도 하죠.” 하지만 배후 세력과 고용인이 누구인지는 전혀 알 수가 없는 상황이라고 한다.

미르카시모프는 “앞으로 기업들 간 해킹 고용을 통한 정찰 행위나 산업 스파이 행위가 활발히 이뤄질 수 있다”고 경고했다. “전통적인 방법을 통해 항상 있어왔던 일이긴 합니다. 그러나 사이버 보안 분야에서는 비교적 낯선 일이죠. 아직 더 지켜봐야 하겠지만, 앞으로 레드컬과 비슷한 공격 단체나 활동 사항들이 빈번하게 나타날 경우, 기업들 간의 해킹 시대가 다가오고 있다고 볼 수 있을 것입니다.”

3줄 요약
1. 새로운 APT 그룹, 레드컬 등장.
2. 피해자들은 주로 대기업. 산업과 지역, 가져가는 정보에 일관성 없음.
3. 혹시 경쟁 기업들이 고용한 해킹 용병?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야