보안

콘티, 러시아 정부 지지에 따른 주요 인프라 공격 태세 선언

Lucian Constantin | CSO 2022.03.02
러시아 군대가 우크라이나를 침공 중인 가운데, 콘티(Conti) 랜섬웨어 배후의 악명 높은 사이버 범죄 단체가 러시아 정부를 전면 지지하겠다고 선언했다. 러시아에 사이버 공격이나 전쟁 행위를 개시하는 모든 국가 및 기업의 주요 인프라를 공격하겠다고 위협했다.

이런 움직임은 핵티비스트 단체인 어나니머스(Anonymous)와의 연계성을 주장하는 수많은 트위터계정이 러시아 정부를 상대로 사이버 전쟁을 선포하고 러시아 투데이(RT)와 크렘린, 러시아 국방부 웹사이트에 대한 DDoS 공격이 자신의 소행이라고 밝힌 이후에 보인 것이다.

이처럼 서로 반대 진영을 지지하는 핵티비스트와 사이버 범죄 단체의 충돌은 파상 공세로 확대되거나 정부기관이 지시한 파괴적 사이버 행위를 위장할 목적으로도 활용될 수 있다.
 
ⓒ Getty Images Bank
 

콘티란 무엇인가

콘티 랜섬웨어는 2018년 이후 회사와 정부 기관 수백 곳을 공격한 악명 높은 류크(Ryuk) 랜섬웨어의 후계자이다. 보안 업계는 콘티와 류크 모두 위저드 스파이더(Wizard Spider)라는 사이버 범죄 단체가 만든 것으로 파악하고 있다. 위저드 스파이더는 류크 배포에 자주 사용된 트릭봇(TrickBot) 봇넷의 배후에 있기도 하다.

9월 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)의 경고에 따르면, 콘티는 미국과 국제 기관을 표적으로 삼은 400여 건의 공격에 사용됐다. 콘티도 류크처럼 수동으로 배포되는 랜섬웨어 프로그램이다. 해커가 기관에 침투한 후 잠행 수동 기법으로 수평 이동해 환경에서 관리 권한을 확보한다. 즉, 이들 집단은 정교한 공격 개시에 필요한 기술을 보유하고 있는 것이나 다름없다.

2월 25일 콘티는 피해자 관련 정보를 게시하고 데이터 유출로 피해자를 위협하는 데 사용하는 웹 사이트를 통해 “콘티는 러시아 정부에 대한 전면 지지를 공식 선언한다. 누구든 러시아에 사이버 공격이나 전쟁 행위를 개시할 경우, 우리는 최대한 모든 자원을 동원해 적의 주요 인프라에 반격을 가할 것이다”라고 밝혔다.

콘티의 선언이 애국심에서 우러나온 것인지, 러시아 국가 요원의 지시인지는 판단하기 어렵지만 러시아 첩보 기관은 위장 작전에 사이버 범죄 단체를 활용한 사례가 있다. 인텔 471 최고 인텔리전스 책임자 마이클 디볼트는 CSO와의 인터뷰를 통해 “러시아 정부는 10년 가까이 이런 전략에 의존하고 있다. 우리는 에브게니 보가체프와 게임오버 제우스(Gameover Zeus)가 지난 10년 간 러시아 정부에 의해 첩보 목적으로 활용된 사실을 알고 있다. 러시아와 연계된 악명 높은 위협 행위자인 막심 야큐베츠 역시 러시아 연방보안국이 직접 끌어들인 것으로 관측됐다. 뿐만 아니라, 조커스 스태시(Joker’s Stash)와 같은 불법 카드 정보 판매처와 솔라윈즈(SolarWinds) 해킹과 같은 사건도 러시아를 위한 첩보 활동을 수행하는 동시에 금전적 이익을 취하려는 사이버 범죄자와의 연관성이 제기됐다. 콘티가 현재 이런 행위를 하고 있는 것을 시사하는 정보는 없지만 충분히 가능한 일이다”라고 말했다.
 

러시아 정부의 책임 회피에 콘티가 이용될 가능성

올해 1월, 러시아 연방보안국(FSB)은 레빌(REvil) 랜섬웨어와 연루된 해커 2명을 체포했다. 그 중 한 명은 2021년 미국 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)을 겨냥한 공격에 직접적인 책임이 있다는 혐의를 받고 있다. 지난해 미국 대통령 조 바이든이 러시아 대통령 블라디미르 푸틴과의 회담을 통해 미국은 러시아에서 활동 중인 랜섬웨어 집단이 저지되지 않으면 언제든지 조치를 가할 수 있다고 경고했다. 이후 단행된 해커 체포 조치는 보안 업계의 환영을 받았지만, 장기적으로는 해커를 기소하겠다는 러시아 당국의 의지를 표현한 것이 아닌, 단순히 외교적 긴장 완화를 위한 조치였다는 견해가 많았다.

드볼트(DeBolt)에 따르면, 콘티가 향후 주요 인프라 공격에 대한 책임을 지고 국가 주도의 행위에 대한 위장 목적으로 이용된다고 해도 놀랍지 않다. 드볼트는 “우리는 러시아 정부와 연계된 러시아 샌드웜(Sandworm) 단체가 2015년 우크라이나 대규모 정전 상태를 일으킨 공격의 배후로 지목되는 등 주요 인프라를 능수능란하게 공격했다는 사실을 알고 있다. 하지만 콘티 혹은 러시아에 소재한 다른 위협 단체도 미국과 서방의 주요 인프라에 대한 공격을 위장하라는 러시아 정부의 지시를 받고 있을 가능성이 높다. 바이든 대통령은 미국 주요 인프라를 겨냥한 모든 사이버 공격을 가한 자는 혹독한 대가를 치를 것이라고 매우 구체적으로 경고했다. 따라서 여기에 콘티를 이용하면 러시아 정부는 모르쇠 작전으로 목표를 달성할 수 있다”라고 설명했다.

이미 선례가 있다. 2008년 러시아와 조지아 간의 전쟁은 조지아 내 인터넷 인프라와 공식 웹사이트에 대한 사이버 공격이 동반됐다. 당시 일부 업계 보도에서는 사이버 공격의 책임자로 러시아 비즈니스 네트웍스(Russian Business Networks)라는 사이버 범죄 단체가 지목됐지만, 일부 애널리스트는 공격 개시에 사용된 툴이 사전 주문 제작 및 준비를 거친 점과 일부 공격이 러시아 무선 통신사 소속 서버에서 개시된 점을 지적했다. 뉴욕 타임즈는 러시아나 다른 곳의 개인이 공격 개시를 자초했을 것이라는 러시아 정부 관계자의 말을 인용해 보도했다.

당시 CNN은 1월 주요 인프라 운영 기관과 주 및 지방 정부에 배포된 미 국토안보부의 DHS 메모는 러시아의 우크라이나 침공에 대한 나토(NATO)와 미국의 대응에 따라 러시아가 미국 주요 인프라에 대한 파괴적 사이버 공격을 개시할 가능성을 경고했다고 보도했다.

한편, 24일 로이터는 키예프 소재 사이버 보안 회사의 공동 창업자가 우크라이나 국방부의 요청이라는 명분으로 우크라이나 해커 포럼에 사이버 공격 및 수비 작전에 참여할 자원자를 모집하는 공고를 올렸다고 보도했다.

어나니머스 자체도 중앙 집권적인 지도부 없이 하부 집단을 직접 조직해 전 세계 여러 지역에서 활동하는 자발적인 핵티비스트 단체이다. 이들은 국지적이거나 전 세계적인 영향을 미치는 정치부터 경제에 이르기까지 광범위한 문제에 대응해 공격을 개시했다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.