보안

새로이 등장한 이란, 사우디아라비아, 러시아, 북한의 위협 집단 분석

Cynthia Brumfield | CSO 2019.11.27
널리 알려진 러시아와 중국의 APT(Advanced Persistent Threat)에 스포트라이트가 집중되어 있기는 하지만, 전세계적으로 다른 유형의 국가주도 위협 세력, 관련 세력의 사이버공격 사례가 증가하고 있는 추세다. 
 
ⓒ Getty Images Bank 

올해 사이버워콘(Cyberwarcon) 컨퍼런스에서는 세계적으로 명성이 높은 20여 명의 사이버보안 전문가들이 이렇게 잘 눈에 띄지 않지만 복잡한 위협 집단에 대한 연구 결과를 발표했다. 이들은 컨퍼런스 동안 이런 위협 집단의 전략과 변화상에 대해 설명했다.


도달 범위를 전세계로 확대하고, 더 강력해진 이란의 APT 33

가장 큰 피해를 초래하는 국가 주도의 사이버전쟁 위협 세력으로 급부상하고 있는 이란에는 가장 악명 높은 사이버 위협집단 중 하나인 APT33이 있다. APT33은 공항, 방위 관련 기업과 기관, 에너지 관련 기업과 기관을 표적으로 삼은 전력이 있는 집단이다. BAE 시스템스 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 위협 인텔리전스 애널리스트인 사헤르 나우만에 따르면, 이 집단은 대부분의 경우 사우디아라비아가 소유, 운영하는 기업과 기관에 초점을 맞추고 있다.

리파인트 키튼(Refined Kitten), 매그날리움(Magnallium), 홀미움(Holmium), 알리바바(Alibaba)로도 불리는 APT 33은 2014년부터 본격적으로 활동을 한 것으로 알려져 있다. 또 데이터를 완전히 지우는 악성코드인 샤문(Shamoon)으로 가장 잘 알려져 있다. 샤문은 2012년 사우디아라비아 석유업체인 아람코의 컴퓨터 3만 대 이상의 데이터를 삭제한 악성코드다. APT33은 중동과 유럽의 기업을 표적으로 하는 공격 캠페인에 전념했었다.

그러나 APT33은 2019년에 공격 작전의 범위를 좁혔다. 구체적으로, 특정 목적으로 도메인과 IP들을 만들어 미국의 정치적 표적들에 사용했다.
나우만에 따르면, 오만 해(Gulf of Oman)에서 발생한 지정학적 사건이 시간대 측면에서 APT33에 연결된다. 오만 해에서 유조선 폭발 사건이 발생한 직후인 2019년 5월과 6월 APT33은 연달아 스피어 피싱 공격을 감행했는 데, 여기에 오만 해 폭발과 일치하는 특징이 있다.

또한 미국의 이란에 대한 압력이 최고조에 도달한 이후 이란의 첩보 및 안보 기관들이 계속해 재편되었는데, 이로 인해 APT33의 힘이 커진 것으로 분석된다. 조직 재편은 이란 혁명 수비대의 ‘서열’과 세력을 강화했으며, ‘매파’ 세력이 늘어났다.

이런 변화 덕분에 새로운 권한과 힘, 리소스를 획득하면서 더 과감해질 수 있다. 향후 몇 개월 간 APT33에 주목해야 하는 또 다른 동인은 중국의 투자와 러시아의 협력이라는 변화 발생 가능성이다.

마이크로소프트 위협 인텔리전스 센터 수석 프로그램 매니저 네드 모란은 자신의 회사가 텔레매트리를 통해 획득한 APT33에 대한 정보 일부를 공개했다. 중요한 교훈 중 하나는 이 집단은 사용자 계정 이름과 많이 사용되는 소수 암호를 결합해 온라인 계정을 뚫는 패스워드 스프레이(Password Spray) 공격을 좋아한다는 것이다.

모란은 “많은 사람이 APT33을 엉성한 집단으로 생각한다. 하지만 사실 APT는 떠들썩한 집단이다. 이들의 스피어 피싱은 공격이 꽤 용이한 도구이다”라고 말했다. 그는 또 “텔레매트리를 연구한 결과, 공격 작전을 아주 정교하게 전개하고 옵섹(OPSEC)를 특히 신경 쓴다는 점을 밝혀냈다. 피싱이 감지되는 것을 신경 쓰지 않을 수도 있다. 이들이 신경 쓰는 것은 포렌직 측면에서 이란과 연결시키는 능력이다”라고 말했다.


사우디아라비아, 감시와 소셜 미디어 여론 조성에 봇을 사용

벨링캣(Belingcat)의 독립 보안 연구원이자 조사 전문가인 네이던 패틴은 사우디아라비아의 사우드 알-카타니(Saud al-Qahtani)라는 인물에 대한 자세한 정보를 공개했다. 과거 사우디아라비아의 왕세자인 모하매드 빈 살만(Mohammed bin Salman, MBS)의 고위 보좌관을 지낸 인물이다. 또한 사우디아라비아의 언론인인 자말 카쇼기 살해와 시신 유기 사건의 배후 주모자로 의심되고 있는 인물이다. 알-카타니는 과거 사우디 왕궁을 위해 ‘파리(Flies)’로 불리는 수 많은 봇을 사용해 아랍어 트위터를 중심으로 트위터 여론을 조정하는 ‘파리 대왕(Lord of the Flies)’이라는 소셜 미디어 및 감시 공격 작전을 전개했었다.

패틴은 알-카타니가 어떤 방법으로 논란이 많은 스파이웨어 공급업체인 해킹 팀(Hacking Team)으로부터 감시 도구들을 구입하려 시도했는지 보도한 마더보드(Motherboard)에서 입수한 이메일 주소를 출발점으로 알-카타니의 온라인 활동을 추적했다. 

그리고 유명 해킹 사이트인 핵 포럼(Hack Forums)에서 1년치 게시물을 발견했다. 여기에 알-카타니가 사용한 침입 및 스파이 활동 기법이 포함되어 있다. 알-카타니는 핵 포럼의 해커들에게 트로이의 목마 설치 방법, 기타 다양한 문제에 대한 도움을 요청했다. 그는 여기에서 24개 이상의 원격 액세스 도구(Remote Access Tool, RAT)를 사용하고 있으며, 가장 좋아하는 도구는 핵 쉐이드(Hack Shades)라는 사실을 공개했다.

알-카타니는 특정 실내 공간의 사람들의 목소리 모두를 녹음할 수 있는 감시 솔루션을 완성하기 위해 핵 포럼의 사용자인 ‘래시(Lassie)’와 협력했다. 또 한 해커를 고용, 월 500달러에 자신의 봇넷 관리를 맡긴 적도 있다. 또 소셜 미디어 여론을 조정하기 위해 광범위한 작전을 펼쳤다. 예를 들어, 유튜브 계정 525개를 구입했으며, 자신의 ‘트롤 팜(Troll farm)’에 수백 명의 젊은이들을 채용했다.

또한 특정 트위터 계정 동결이나 해지를 시도했었다. 그는 핵 포럼에 트위터 내부에 조력자가 있어 이렇게 할 수 있었다고 정보를 공개했다. 그렇지만 이런 사실이 놀랄 일은 아니다. 지난 달, 미국 법무부는 트위터 내부에서 은밀히 활동하고 있던 사우디아라비아의 첩자를 형사 기소했기 때문이다. 그러나 이 첩자는 사우디아라비아로 돌아갔다.

사우디 왕궁에서 중요한 역할을 맡고 있기는 하지만, 알-카타니는 보안에 철저한 인물이 아니다. 핵 포럼에 술을 마셨다고 직접 인정한 게시글을 올린 횟수가 최소 3차례 이상이다. 사우디아라비아는 음주가 금지되어 있으며, 이를 어길 시 처벌을 받는 국가라는 점을 감안하면 아주 깜짝 놀랄 고백이다. 또 알-카타니가 2009년 이후 개인 등록한 3개 도메인에 그의 이름과 이메일 주소, 전화번호 등의 개인 식별 정보가 공개되어 있다.

사우디아라비아의 한 반체제 인사는 2019년 8월 사우디아라비아 정부가 알-카타니를 독살했다고 주장했다. 그러나 확인되지 않았으며, 의심스러운 주장이다. 알-카타니가 여전히 살아 있으며, 여전히 사우디아라비아 왕가를 위해 일을 하고 있다는 다른 신호들이 있기 때문이다.


물리적 방해와 혼란에 집중하고 있는 러시아의 와그너 그룹

러시아에서 가장 큰 관심을 유발하는 새로운 위협 집단 중 하나는 와그너 그룹(Wagner Group)이다. 스탠포드 인터넷 옵저베이터리(Stanford Internet Observatory)의 기술적 조사 담당 매니저인 르네 다이어스타에 따르면, 이 준 군사조직은 물리적, 동적 공격 작전에 집중하는 경향이 있다. 협력업체로 추정되는 와그너 그룹은 러시아의 주 첩보기관인 GRU, 여론 조성과 선전을 맡고 있는 IRA(Internet Research Agency)와 협력하고 있다. 

구체적으로 러시아의 지정학적 이해, 기타 이해와 관련된 일을 하고 있다.
와그너 그룹은 리비아 선거와 관련된 대형 작전에 관여한 이후에는 소셜 미디어 마케팅 에이전시라는 기존의 역할 범위를 넘어서, 훨씬 더 사악한 일들을 하고 있다. 이들은 공동체에 침입한 후, 그 공동체의 사람들이 거리로 나가 시위를 하도록 유도한다.


군사 및 상업적 목적을 추구하는 북한의 APT그룹

글로벌 APT 영역에서 큰 힘을 갖고 있는 또 다른 세력은 북한이다. 크라우드스트라이크(Crowdstrike)의 수석 애널리스트인 케티 블랭켄십에 따르면, 북한에는 기존부터 활용한 공격 및 표적 모델을 혼합해 활용해 사이버 작전을 수행하는 여러 집단들이 있다. 사일런트 천리마(Silent Chollima), 벨벳 천리마(Velvet Chollima), 리코쳇 천리마(Ricochet Chollima), 스타더스트 천리마(Stardust Chollima), 랩 천리마(Lab Chollima)가 여기에 해당된다.

2015년, 이런 천리마 집단 모두가 역량을 강화하기 시작했다. 2017년부터는 목표가 바뀌기 시작했다. 김정은이 군사적인 목표를 넘어, 군사 및 경제적 목표를 함께 추구하는 방향으로 첩보 관련 정책을 바꾼 것이 계기였다. 여전히 표적의 대부분은 북한이 선호하는 대한민국이다. 그렇지만 초점과 노력을 전세계로 확대하고 있다. 과거에는 첩보 활동에만 초점을 맞췄지만, 이제 범죄 및 방해, 파괴 작전까지 전개하고 있다.

북한은 금융 관련 범죄로도 악명을 떨치고 있다. 많은 대규모 디지털 금융 및 암호화폐 관련 도난 사고에 북한이 관련된 것으로 추정되고 있다. 블랭켄십에 따르면, 천리마 집단들은 금융 관련 범죄 작전에 있어 본격적으로 새로운 경로를 개척하기 시작했다. 또 김정은의 표현을 빌리면, 북한이 추구하는 목표를 달성하는데 도움을 주는 ‘다목적 칼’이 되기 위한 활동을 본격적으로 시작했다.

블랭켄십은 “북한 정권을 지원하는 데 목적을 두고 대규모 금융 범죄 작전을 전개하는 것에 그치지 않고, 각 집단들이 소규모로 금융 범죄 작전을 펼치기 시작했다. 국가를 지원하는 데 목적을 둔 작전일 수도 있지만, 개별 집단의 작전 전개에 필요한 재원을 마련하기 위한 방편일 수도 있다”라고 말했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.