올해 사이버워콘(Cyberwarcon) 컨퍼런스에서는 세계적으로 명성이 높은 20여 명의 사이버보안 전문가들이 이렇게 잘 눈에 띄지 않지만 복잡한 위협 집단에 대한 연구 결과를 발표했다. 이들은 컨퍼런스 동안 이런 위협 집단의 전략과 변화상에 대해 설명했다.
도달 범위를 전세계로 확대하고, 더 강력해진 이란의 APT 33
가장 큰 피해를 초래하는 국가 주도의 사이버전쟁 위협 세력으로 급부상하고 있는 이란에는 가장 악명 높은 사이버 위협집단 중 하나인 APT33이 있다. APT33은 공항, 방위 관련 기업과 기관, 에너지 관련 기업과 기관을 표적으로 삼은 전력이 있는 집단이다. BAE 시스템스 어플라이드 인텔리전스(BAE Systems Applied Intelligence)의 위협 인텔리전스 애널리스트인 사헤르 나우만에 따르면, 이 집단은 대부분의 경우 사우디아라비아가 소유, 운영하는 기업과 기관에 초점을 맞추고 있다.리파인트 키튼(Refined Kitten), 매그날리움(Magnallium), 홀미움(Holmium), 알리바바(Alibaba)로도 불리는 APT 33은 2014년부터 본격적으로 활동을 한 것으로 알려져 있다. 또 데이터를 완전히 지우는 악성코드인 샤문(Shamoon)으로 가장 잘 알려져 있다. 샤문은 2012년 사우디아라비아 석유업체인 아람코의 컴퓨터 3만 대 이상의 데이터를 삭제한 악성코드다. APT33은 중동과 유럽의 기업을 표적으로 하는 공격 캠페인에 전념했었다.
그러나 APT33은 2019년에 공격 작전의 범위를 좁혔다. 구체적으로, 특정 목적으로 도메인과 IP들을 만들어 미국의 정치적 표적들에 사용했다.
나우만에 따르면, 오만 해(Gulf of Oman)에서 발생한 지정학적 사건이 시간대 측면에서 APT33에 연결된다. 오만 해에서 유조선 폭발 사건이 발생한 직후인 2019년 5월과 6월 APT33은 연달아 스피어 피싱 공격을 감행했는 데, 여기에 오만 해 폭발과 일치하는 특징이 있다.
또한 미국의 이란에 대한 압력이 최고조에 도달한 이후 이란의 첩보 및 안보 기관들이 계속해 재편되었는데, 이로 인해 APT33의 힘이 커진 것으로 분석된다. 조직 재편은 이란 혁명 수비대의 ‘서열’과 세력을 강화했으며, ‘매파’ 세력이 늘어났다.
이런 변화 덕분에 새로운 권한과 힘, 리소스를 획득하면서 더 과감해질 수 있다. 향후 몇 개월 간 APT33에 주목해야 하는 또 다른 동인은 중국의 투자와 러시아의 협력이라는 변화 발생 가능성이다.
마이크로소프트 위협 인텔리전스 센터 수석 프로그램 매니저 네드 모란은 자신의 회사가 텔레매트리를 통해 획득한 APT33에 대한 정보 일부를 공개했다. 중요한 교훈 중 하나는 이 집단은 사용자 계정 이름과 많이 사용되는 소수 암호를 결합해 온라인 계정을 뚫는 패스워드 스프레이(Password Spray) 공격을 좋아한다는 것이다.
모란은 “많은 사람이 APT33을 엉성한 집단으로 생각한다. 하지만 사실 APT는 떠들썩한 집단이다. 이들의 스피어 피싱은 공격이 꽤 용이한 도구이다”라고 말했다. 그는 또 “텔레매트리를 연구한 결과, 공격 작전을 아주 정교하게 전개하고 옵섹(OPSEC)를 특히 신경 쓴다는 점을 밝혀냈다. 피싱이 감지되는 것을 신경 쓰지 않을 수도 있다. 이들이 신경 쓰는 것은 포렌직 측면에서 이란과 연결시키는 능력이다”라고 말했다.
사우디아라비아, 감시와 소셜 미디어 여론 조성에 봇을 사용
벨링캣(Belingcat)의 독립 보안 연구원이자 조사 전문가인 네이던 패틴은 사우디아라비아의 사우드 알-카타니(Saud al-Qahtani)라는 인물에 대한 자세한 정보를 공개했다. 과거 사우디아라비아의 왕세자인 모하매드 빈 살만(Mohammed bin Salman, MBS)의 고위 보좌관을 지낸 인물이다. 또한 사우디아라비아의 언론인인 자말 카쇼기 살해와 시신 유기 사건의 배후 주모자로 의심되고 있는 인물이다. 알-카타니는 과거 사우디 왕궁을 위해 ‘파리(Flies)’로 불리는 수 많은 봇을 사용해 아랍어 트위터를 중심으로 트위터 여론을 조정하는 ‘파리 대왕(Lord of the Flies)’이라는 소셜 미디어 및 감시 공격 작전을 전개했었다.패틴은 알-카타니가 어떤 방법으로 논란이 많은 스파이웨어 공급업체인 해킹 팀(Hacking Team)으로부터 감시 도구들을 구입하려 시도했는지 보도한 마더보드(Motherboard)에서 입수한 이메일 주소를 출발점으로 알-카타니의 온라인 활동을 추적했다.
그리고 유명 해킹 사이트인 핵 포럼(Hack Forums)에서 1년치 게시물을 발견했다. 여기에 알-카타니가 사용한 침입 및 스파이 활동 기법이 포함되어 있다. 알-카타니는 핵 포럼의 해커들에게 트로이의 목마 설치 방법, 기타 다양한 문제에 대한 도움을 요청했다. 그는 여기에서 24개 이상의 원격 액세스 도구(Remote Access Tool, RAT)를 사용하고 있으며, 가장 좋아하는 도구는 핵 쉐이드(Hack Shades)라는 사실을 공개했다.
알-카타니는 특정 실내 공간의 사람들의 목소리 모두를 녹음할 수 있는 감시 솔루션을 완성하기 위해 핵 포럼의 사용자인 ‘래시(Lassie)’와 협력했다. 또 한 해커를 고용, 월 500달러에 자신의 봇넷 관리를 맡긴 적도 있다. 또 소셜 미디어 여론을 조정하기 위해 광범위한 작전을 펼쳤다. 예를 들어, 유튜브 계정 525개를 구입했으며, 자신의 ‘트롤 팜(Troll farm)’에 수백 명의 젊은이들을 채용했다.
또한 특정 트위터 계정 동결이나 해지를 시도했었다. 그는 핵 포럼에 트위터 내부에 조력자가 있어 이렇게 할 수 있었다고 정보를 공개했다. 그렇지만 이런 사실이 놀랄 일은 아니다. 지난 달, 미국 법무부는 트위터 내부에서 은밀히 활동하고 있던 사우디아라비아의 첩자를 형사 기소했기 때문이다. 그러나 이 첩자는 사우디아라비아로 돌아갔다.
사우디 왕궁에서 중요한 역할을 맡고 있기는 하지만, 알-카타니는 보안에 철저한 인물이 아니다. 핵 포럼에 술을 마셨다고 직접 인정한 게시글을 올린 횟수가 최소 3차례 이상이다. 사우디아라비아는 음주가 금지되어 있으며, 이를 어길 시 처벌을 받는 국가라는 점을 감안하면 아주 깜짝 놀랄 고백이다. 또 알-카타니가 2009년 이후 개인 등록한 3개 도메인에 그의 이름과 이메일 주소, 전화번호 등의 개인 식별 정보가 공개되어 있다.
사우디아라비아의 한 반체제 인사는 2019년 8월 사우디아라비아 정부가 알-카타니를 독살했다고 주장했다. 그러나 확인되지 않았으며, 의심스러운 주장이다. 알-카타니가 여전히 살아 있으며, 여전히 사우디아라비아 왕가를 위해 일을 하고 있다는 다른 신호들이 있기 때문이다.
물리적 방해와 혼란에 집중하고 있는 러시아의 와그너 그룹
러시아에서 가장 큰 관심을 유발하는 새로운 위협 집단 중 하나는 와그너 그룹(Wagner Group)이다. 스탠포드 인터넷 옵저베이터리(Stanford Internet Observatory)의 기술적 조사 담당 매니저인 르네 다이어스타에 따르면, 이 준 군사조직은 물리적, 동적 공격 작전에 집중하는 경향이 있다. 협력업체로 추정되는 와그너 그룹은 러시아의 주 첩보기관인 GRU, 여론 조성과 선전을 맡고 있는 IRA(Internet Research Agency)와 협력하고 있다. 구체적으로 러시아의 지정학적 이해, 기타 이해와 관련된 일을 하고 있다.
와그너 그룹은 리비아 선거와 관련된 대형 작전에 관여한 이후에는 소셜 미디어 마케팅 에이전시라는 기존의 역할 범위를 넘어서, 훨씬 더 사악한 일들을 하고 있다. 이들은 공동체에 침입한 후, 그 공동체의 사람들이 거리로 나가 시위를 하도록 유도한다.
군사 및 상업적 목적을 추구하는 북한의 APT그룹
글로벌 APT 영역에서 큰 힘을 갖고 있는 또 다른 세력은 북한이다. 크라우드스트라이크(Crowdstrike)의 수석 애널리스트인 케티 블랭켄십에 따르면, 북한에는 기존부터 활용한 공격 및 표적 모델을 혼합해 활용해 사이버 작전을 수행하는 여러 집단들이 있다. 사일런트 천리마(Silent Chollima), 벨벳 천리마(Velvet Chollima), 리코쳇 천리마(Ricochet Chollima), 스타더스트 천리마(Stardust Chollima), 랩 천리마(Lab Chollima)가 여기에 해당된다.2015년, 이런 천리마 집단 모두가 역량을 강화하기 시작했다. 2017년부터는 목표가 바뀌기 시작했다. 김정은이 군사적인 목표를 넘어, 군사 및 경제적 목표를 함께 추구하는 방향으로 첩보 관련 정책을 바꾼 것이 계기였다. 여전히 표적의 대부분은 북한이 선호하는 대한민국이다. 그렇지만 초점과 노력을 전세계로 확대하고 있다. 과거에는 첩보 활동에만 초점을 맞췄지만, 이제 범죄 및 방해, 파괴 작전까지 전개하고 있다.
북한은 금융 관련 범죄로도 악명을 떨치고 있다. 많은 대규모 디지털 금융 및 암호화폐 관련 도난 사고에 북한이 관련된 것으로 추정되고 있다. 블랭켄십에 따르면, 천리마 집단들은 금융 관련 범죄 작전에 있어 본격적으로 새로운 경로를 개척하기 시작했다. 또 김정은의 표현을 빌리면, 북한이 추구하는 목표를 달성하는데 도움을 주는 ‘다목적 칼’이 되기 위한 활동을 본격적으로 시작했다.
블랭켄십은 “북한 정권을 지원하는 데 목적을 두고 대규모 금융 범죄 작전을 전개하는 것에 그치지 않고, 각 집단들이 소규모로 금융 범죄 작전을 펼치기 시작했다. 국가를 지원하는 데 목적을 둔 작전일 수도 있지만, 개별 집단의 작전 전개에 필요한 재원을 마련하기 위한 방편일 수도 있다”라고 말했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.