호시탐탐 노리다 오랫동안 머물다 가는 전 세계 사이버전 해커들
[보안뉴스 문가용] “우리 집에 낯선 사람이 숨어 살고 있다.” 몇 년 전 개봉했던 영화 ‘숨바꼭질’의 광고 문구다. 타인이 남몰래 같이 살고 있다는 소름끼치는 설정으로 전개되는 내용인데, 실체가 보이지 않아서 그런 건지 사무실이건 집이건 내 네트워크 속에 낯선 사람이 숨어 살고 있는 건 영화화 되지도 않을 정도로 당연한 때인데도 우린 별 느낌이 없다.
내 랜선에서 ‘숨바꼭질’을 하고 있는 이들은 크게 세 부류로 나눌 수 있다. 자기 나라를 위해 싸우는 사이버전 요원들, 자기 이상을 위해 해킹을 하는 핵티비스트들, 그리고 금전적인 이득을 위해 네트워크를 침투하는 도둑형 해킹들이 바로 그것이다. 본지는 이중 도둑형 해킹들은 그 수도 너무 많고 활동 기간도 일정하지 않아 제외하고, 오랫동안 활동을 하는 사이버전 단체와 핵티비스트들을 지역별로 정리해보았다. 오늘은 먼저 사이버전 단체들이다.
1. 중동
SEA : 시리아 전자군(Syrian Electronic Army)을 줄여 부르는 말로 2011년부터 2013년까지 활발하게 활동했다. 지금은 조금 뜸한 것이 사실이나 해체되었다는 증거는 아직 나타나지 않았다. 바샤르 알 아사드(Bashar Al-Assad) 대통령을 지지하는 성향을 나타내며, 그렇기 때문에 알 아사드 대통령을 독재자라고 비난하는 언론을 주요 공격 대상으로 삼는다. 뉴욕타임즈, CNN, 워싱턴포스트, 타임즈 등의 유명 매체들은 전부 SEA의 공격을 받은 경험이 있다. SEA가 우파적인 성격을 나타나기 때문에 좌파적인 해킹 단체인 어나니머스(Anonymous)와 앙숙 관계에 있는 것 역시 놀라울 것이 없는 현상이다.
Tarh Andishan : 발음하기가 어려운 그룹으로 아마 ‘타르 안디샨’ 쯤으로 읽힐 듯한 이 단체는 이란 정부의 후원을 받는 사이버전 부대다. 미국과 이스라엘이 2009~2010년 스턱스넷(Stuxnet)이라는 유명한 공격을 이란 핵 시설에 감행한 후에 생긴 것으로, 적국의 군사, 상업, 교육, 환경, 에너지, 항공 등 다양한 분야를 공격한다. 클리버(Cleaver) 작전으로 약 50개 이상의 조직을 공격한 것으로 유명해졌으며, 이 작전은 특히 공항을 주요 표적으로 삼아 물리적인 위협까지도 초래했다. 약 20명 정도로 구성된 것으로 보이며 미국, 중앙아메리카 국가들, 유럽, 남한, 파키스탄, 이스라엘 등이 피해국으로 꼽힌다.
Ajax Security Team / Flying Kitten / Rotten Kitten : 2010년부터 이란에서 활동을 시작한 해킹 단체로 처음엔 그 성격이 핵티비스트(국가의 이익보다 이상에 입각한 메시지를 전달하기 위해 해킹을 하는 활동주의자들)에 가까웠으나 점점 사이버전 및 사이버테러를 위주로 활동하기 시작했다. 전문가들은 아마 어떤 시점에서 이들이 이란 정부의 후원을 받기 시작했다고 추정하고 있다. 마이크로소프트 아웃룩, 웹 액세스 스푸핑 등을 통해 미국 국방부 및 여러 방위 산업체들을 공격한 사프란 로즈(Saffron Rose) 작전이 제일 유명하며, 그 후로 크라우드스트라이크(CrowdStrike)와 파이어아이(FireEye) 등 보안기업들의 집중 추적을 받고 있다.
2. 유럽
Dragonfly, Energetic Bear : 동유럽을 근거지로 삼아 활동하는 해킹 단체로 러시아의 보안기업인 카스퍼스키가 제일 먼저 발견했다. 주로 에너지 산업을 노리는 공격을 하기 때문에 보통은 에너제틱 베어(Energetic Bear)라고 부르는데 시만텍은 드래곤플라이(Dragonfly)라고 부른다. 정부 후원을 받는 해커들 중 스턱스넷 공격을 제외하고는 굉장히 높은 수준의 공격 기술을 선보이는 것이 특징이고, RAT, 피싱 이메일, 워터링홀 공격 등 사용하는 방법도 가지가지다. 심지어 정상 소프트웨어까지도 감염시켜 공격하는 것도 가능하다. 기술력이나 규모나 스턱스넷을 사용한 자들과 비견될 정도의 그룹이다.
APT28 : 러시아의 유명 해킹 단체로 러시아의 해커들이 그렇듯 자신을 감추는 데 특출함을 보인다. 보통 보안업계에서는 별 다른 이름을 붙일 수 없을 때 지능형 지속 공격(APT, advanced persistent threat)을 주로 하는 단체라는 뜻의 APT에 번호를 붙여서 구분하는데, APT28의 이름이 계속 이런 기본 형태로 남아있다는 건 이들의 활동이 오래전부터 있어왔다는 뜻이기도 하고 별다른 흔적을 남기지 않았다는 뜻도 된다. APT28은 2007년부터 활동한 것으로 보이며, 멀웨어의 활동시간들이 러시아의 근무시간과 상당부분 겹친다. 또한, 미국, 유럽 등 러시아와 정치적으로 부딪히는 국가와 조직들(그루지야나 NATO 등)을 공격한다. 물론 러시아는 이들의 배후에 있음을 부정하고 있다.
3. 미국
Tailored Access Operation(TAO) : 미국 NSA가 운영하는 것으로 알려진 해킹 단체로 스턱스넷 공격으로 인해 이란에서도 수준 높은 해킹 단체가 발족되자 그에 대응하기 위해 만들어진 것으로 보인다. 먼저 공격해놓고 보복 당할까봐 두려워 만든 단체인 것. 그러나 자국의 방어를 위해서인지 뭔지 대규모로 미국 국민들의 통화 데이터를 수집하는 것이 스노우든을 통해 밝혀진 게 제일 유명하다. 첨단 IT 기업도 해킹할 정도로 수준이 높아 스노우든은 “그들은 뭐든지 뚫을 수 있다”고 설명할 정도다. 스노우든 사건 이후로 TAO 직원들은 링크드인에도 스스로의 프로파일을 올리는 등 존재를 별로 숨기려 하지 않고 있다.
Equation Group : 가장 뛰어난 기술력을 가진 해킹 단체로 알려져 있으며 NSA와 밀접한 관련이 있는 것으로 보인다. 이 단체의 활동을 제일 먼저 발견한 카스퍼스키에 따르면 이퀘이젼 그룹은 고도화된 암호화 기술을 활용하고 있어 정체 파악이나 공격의 분석이 극도로 어렵고, 다년간 42개 국가에서 500개 이상의 멀웨어를 가지고 활동을 해왔다. 또한, 스턱스넷과 비슷한 제로데이 공격을 하는 것으로 보아 스턱스넷 제작자와 이퀘이젼 그룹의 멤버들은 같거나 매우 가까운 관계에 있는 것으로 보인다. 많은 부분 베일에 싸여진 그룹이다.
4. 동아시아
Unit 61398 / Comment Crew / Putter Panda / Deep Panda : 중국의 해킹 그룹으로 맨디언트(Mandiant)가 2013년에 발견했다. Unit 61398은 중국 인민해방군 내 소속인 것으로 강하게 추정되고 있는데, 그 이유는 이들이 실수로 노출시킨 IP가 상하이의 한 12층 건물로 나타나며, 이 건물에 드나드는 인물들이 인민해방군 소속의 주요 관리자들로 추정되고 있기 때문이다. 또한, 이들의 멀웨어나 공격 세팅에서 중국어가 다수 발견되고 있기도 하다. 이들은 영어를 모국어로 쓰는 국가의 141개 조직에서 수백 테라바이트의 정보를 여태껏 탈취해 왔다.
Axiom : 액시엄은 중국의 단체일 가능성이 가장 높으나 아직 정확히는 파악하지 못하고 있다. 여태껏 비트나인(Bit9), 마이크로소프트, 시만텍, 쓰레트커넥트(ThreatConnect), 볼렉시티(Volexity) 등의 전문기업들이 이들의 행적을 발견하거나 뒤를 쫓은 적이 있다. 중국과 적대관계에 놓인 기업들이나 정치적인 조직들을 주로 타격해 왔으며, 2010년 구글을 공격한 가장 유력한 용의자로 꼽힌다. 인민해방군 소속 해킹부대의 하위 조직이라고 보는 전문가들도 있다. 기초적인 멀웨어부터 고급 해킹 공격까지 다양한 기술을 구사한다.
Bureau 121 : 북한의 해킹 단체로 알려져 있는 뷰로121은 지난해 가디언스 오브 에인절스(Guardians of Angels)라는 단체가 소니 픽처스(Sony Pictures)를 공격하면서 북한의 해킹 능력이 전 세계적인 주목을 받음에 따라 여러 보안전문 기관들이 추적하면서 드러났다. 2013년 있었던 다크 서울(Dark Seou) 작전도 이들의 소행이라고 보는 게 중론이다. 탈북자 장세열 씨가 로이터 통신을 통해 자신이 해킹을 위주로 활동하는 이들과 함께한 적이 있다고 증언하면서 실체가 더욱 확실해진 바 있다.
Hidden Lynx : 2013년에 갑자기 두각을 나타낸 중국의 해킹 단체인 히든 링스는 약 50~100명 정도로 구성된 것으로 보인다. 뛰어난 해킹 기술을 선보이고 스킬 스펙트럼도 넓지만 워터링홀 공격이 단연 돋보인다. 미국, 중국, 대만, 남한 등을 주로 공격해왔으며 보안 업계 사이에서는 ‘헐리우드 영화에 나오는 용병집단 같다’는 평이 있을 정도로 신출귀몰하고 뛰어나다.
Network Crack Program Hacker Group : 위키드 로즈(Wicked Rose)라는 이름을 사용하는 탠 데일린(Tan Dailin)이라는 인물이 1994년 중국 쓰촨성에서 만든 핵티비스트 그룹. 처음에는 중국 내 여러 해킹 관련 웹사이트들을 공격한 것에 그치는 등 중국 내에서 경쟁하는 여러 해킹 동아리 중 하나라는 느낌이 강했는데 갈수록 기술력이 발달하면서 2006년 탠 데일린이 직접 개발한 긴우이(GinWui) 룻킷을 가지고 미국 국방부를 공격하면서 세계적인 주목을 받기 시작했다. 해킹을 연구하던 학생들이 어느 시점에 중국 군대에 소속된 것으로 보인다. 탠 데일린은 자신의 블로그에 ‘유급 활동’임을 밝힌 바 있으나 후원자가 누구인지는 아직도 불투명하다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] “우리 집에 낯선 사람이 숨어 살고 있다.” 몇 년 전 개봉했던 영화 ‘숨바꼭질’의 광고 문구다. 타인이 남몰래 같이 살고 있다는 소름끼치는 설정으로 전개되는 내용인데, 실체가 보이지 않아서 그런 건지 사무실이건 집이건 내 네트워크 속에 낯선 사람이 숨어 살고 있는 건 영화화 되지도 않을 정도로 당연한 때인데도 우린 별 느낌이 없다.
내 랜선에서 ‘숨바꼭질’을 하고 있는 이들은 크게 세 부류로 나눌 수 있다. 자기 나라를 위해 싸우는 사이버전 요원들, 자기 이상을 위해 해킹을 하는 핵티비스트들, 그리고 금전적인 이득을 위해 네트워크를 침투하는 도둑형 해킹들이 바로 그것이다. 본지는 이중 도둑형 해킹들은 그 수도 너무 많고 활동 기간도 일정하지 않아 제외하고, 오랫동안 활동을 하는 사이버전 단체와 핵티비스트들을 지역별로 정리해보았다. 오늘은 먼저 사이버전 단체들이다.
1. 중동
SEA : 시리아 전자군(Syrian Electronic Army)을 줄여 부르는 말로 2011년부터 2013년까지 활발하게 활동했다. 지금은 조금 뜸한 것이 사실이나 해체되었다는 증거는 아직 나타나지 않았다. 바샤르 알 아사드(Bashar Al-Assad) 대통령을 지지하는 성향을 나타내며, 그렇기 때문에 알 아사드 대통령을 독재자라고 비난하는 언론을 주요 공격 대상으로 삼는다. 뉴욕타임즈, CNN, 워싱턴포스트, 타임즈 등의 유명 매체들은 전부 SEA의 공격을 받은 경험이 있다. SEA가 우파적인 성격을 나타나기 때문에 좌파적인 해킹 단체인 어나니머스(Anonymous)와 앙숙 관계에 있는 것 역시 놀라울 것이 없는 현상이다.
Tarh Andishan : 발음하기가 어려운 그룹으로 아마 ‘타르 안디샨’ 쯤으로 읽힐 듯한 이 단체는 이란 정부의 후원을 받는 사이버전 부대다. 미국과 이스라엘이 2009~2010년 스턱스넷(Stuxnet)이라는 유명한 공격을 이란 핵 시설에 감행한 후에 생긴 것으로, 적국의 군사, 상업, 교육, 환경, 에너지, 항공 등 다양한 분야를 공격한다. 클리버(Cleaver) 작전으로 약 50개 이상의 조직을 공격한 것으로 유명해졌으며, 이 작전은 특히 공항을 주요 표적으로 삼아 물리적인 위협까지도 초래했다. 약 20명 정도로 구성된 것으로 보이며 미국, 중앙아메리카 국가들, 유럽, 남한, 파키스탄, 이스라엘 등이 피해국으로 꼽힌다.
Ajax Security Team / Flying Kitten / Rotten Kitten : 2010년부터 이란에서 활동을 시작한 해킹 단체로 처음엔 그 성격이 핵티비스트(국가의 이익보다 이상에 입각한 메시지를 전달하기 위해 해킹을 하는 활동주의자들)에 가까웠으나 점점 사이버전 및 사이버테러를 위주로 활동하기 시작했다. 전문가들은 아마 어떤 시점에서 이들이 이란 정부의 후원을 받기 시작했다고 추정하고 있다. 마이크로소프트 아웃룩, 웹 액세스 스푸핑 등을 통해 미국 국방부 및 여러 방위 산업체들을 공격한 사프란 로즈(Saffron Rose) 작전이 제일 유명하며, 그 후로 크라우드스트라이크(CrowdStrike)와 파이어아이(FireEye) 등 보안기업들의 집중 추적을 받고 있다.
2. 유럽
Dragonfly, Energetic Bear : 동유럽을 근거지로 삼아 활동하는 해킹 단체로 러시아의 보안기업인 카스퍼스키가 제일 먼저 발견했다. 주로 에너지 산업을 노리는 공격을 하기 때문에 보통은 에너제틱 베어(Energetic Bear)라고 부르는데 시만텍은 드래곤플라이(Dragonfly)라고 부른다. 정부 후원을 받는 해커들 중 스턱스넷 공격을 제외하고는 굉장히 높은 수준의 공격 기술을 선보이는 것이 특징이고, RAT, 피싱 이메일, 워터링홀 공격 등 사용하는 방법도 가지가지다. 심지어 정상 소프트웨어까지도 감염시켜 공격하는 것도 가능하다. 기술력이나 규모나 스턱스넷을 사용한 자들과 비견될 정도의 그룹이다.
APT28 : 러시아의 유명 해킹 단체로 러시아의 해커들이 그렇듯 자신을 감추는 데 특출함을 보인다. 보통 보안업계에서는 별 다른 이름을 붙일 수 없을 때 지능형 지속 공격(APT, advanced persistent threat)을 주로 하는 단체라는 뜻의 APT에 번호를 붙여서 구분하는데, APT28의 이름이 계속 이런 기본 형태로 남아있다는 건 이들의 활동이 오래전부터 있어왔다는 뜻이기도 하고 별다른 흔적을 남기지 않았다는 뜻도 된다. APT28은 2007년부터 활동한 것으로 보이며, 멀웨어의 활동시간들이 러시아의 근무시간과 상당부분 겹친다. 또한, 미국, 유럽 등 러시아와 정치적으로 부딪히는 국가와 조직들(그루지야나 NATO 등)을 공격한다. 물론 러시아는 이들의 배후에 있음을 부정하고 있다.
3. 미국
Tailored Access Operation(TAO) : 미국 NSA가 운영하는 것으로 알려진 해킹 단체로 스턱스넷 공격으로 인해 이란에서도 수준 높은 해킹 단체가 발족되자 그에 대응하기 위해 만들어진 것으로 보인다. 먼저 공격해놓고 보복 당할까봐 두려워 만든 단체인 것. 그러나 자국의 방어를 위해서인지 뭔지 대규모로 미국 국민들의 통화 데이터를 수집하는 것이 스노우든을 통해 밝혀진 게 제일 유명하다. 첨단 IT 기업도 해킹할 정도로 수준이 높아 스노우든은 “그들은 뭐든지 뚫을 수 있다”고 설명할 정도다. 스노우든 사건 이후로 TAO 직원들은 링크드인에도 스스로의 프로파일을 올리는 등 존재를 별로 숨기려 하지 않고 있다.
Equation Group : 가장 뛰어난 기술력을 가진 해킹 단체로 알려져 있으며 NSA와 밀접한 관련이 있는 것으로 보인다. 이 단체의 활동을 제일 먼저 발견한 카스퍼스키에 따르면 이퀘이젼 그룹은 고도화된 암호화 기술을 활용하고 있어 정체 파악이나 공격의 분석이 극도로 어렵고, 다년간 42개 국가에서 500개 이상의 멀웨어를 가지고 활동을 해왔다. 또한, 스턱스넷과 비슷한 제로데이 공격을 하는 것으로 보아 스턱스넷 제작자와 이퀘이젼 그룹의 멤버들은 같거나 매우 가까운 관계에 있는 것으로 보인다. 많은 부분 베일에 싸여진 그룹이다.
4. 동아시아
Unit 61398 / Comment Crew / Putter Panda / Deep Panda : 중국의 해킹 그룹으로 맨디언트(Mandiant)가 2013년에 발견했다. Unit 61398은 중국 인민해방군 내 소속인 것으로 강하게 추정되고 있는데, 그 이유는 이들이 실수로 노출시킨 IP가 상하이의 한 12층 건물로 나타나며, 이 건물에 드나드는 인물들이 인민해방군 소속의 주요 관리자들로 추정되고 있기 때문이다. 또한, 이들의 멀웨어나 공격 세팅에서 중국어가 다수 발견되고 있기도 하다. 이들은 영어를 모국어로 쓰는 국가의 141개 조직에서 수백 테라바이트의 정보를 여태껏 탈취해 왔다.
Axiom : 액시엄은 중국의 단체일 가능성이 가장 높으나 아직 정확히는 파악하지 못하고 있다. 여태껏 비트나인(Bit9), 마이크로소프트, 시만텍, 쓰레트커넥트(ThreatConnect), 볼렉시티(Volexity) 등의 전문기업들이 이들의 행적을 발견하거나 뒤를 쫓은 적이 있다. 중국과 적대관계에 놓인 기업들이나 정치적인 조직들을 주로 타격해 왔으며, 2010년 구글을 공격한 가장 유력한 용의자로 꼽힌다. 인민해방군 소속 해킹부대의 하위 조직이라고 보는 전문가들도 있다. 기초적인 멀웨어부터 고급 해킹 공격까지 다양한 기술을 구사한다.
Bureau 121 : 북한의 해킹 단체로 알려져 있는 뷰로121은 지난해 가디언스 오브 에인절스(Guardians of Angels)라는 단체가 소니 픽처스(Sony Pictures)를 공격하면서 북한의 해킹 능력이 전 세계적인 주목을 받음에 따라 여러 보안전문 기관들이 추적하면서 드러났다. 2013년 있었던 다크 서울(Dark Seou) 작전도 이들의 소행이라고 보는 게 중론이다. 탈북자 장세열 씨가 로이터 통신을 통해 자신이 해킹을 위주로 활동하는 이들과 함께한 적이 있다고 증언하면서 실체가 더욱 확실해진 바 있다.
Hidden Lynx : 2013년에 갑자기 두각을 나타낸 중국의 해킹 단체인 히든 링스는 약 50~100명 정도로 구성된 것으로 보인다. 뛰어난 해킹 기술을 선보이고 스킬 스펙트럼도 넓지만 워터링홀 공격이 단연 돋보인다. 미국, 중국, 대만, 남한 등을 주로 공격해왔으며 보안 업계 사이에서는 ‘헐리우드 영화에 나오는 용병집단 같다’는 평이 있을 정도로 신출귀몰하고 뛰어나다.
Network Crack Program Hacker Group : 위키드 로즈(Wicked Rose)라는 이름을 사용하는 탠 데일린(Tan Dailin)이라는 인물이 1994년 중국 쓰촨성에서 만든 핵티비스트 그룹. 처음에는 중국 내 여러 해킹 관련 웹사이트들을 공격한 것에 그치는 등 중국 내에서 경쟁하는 여러 해킹 동아리 중 하나라는 느낌이 강했는데 갈수록 기술력이 발달하면서 2006년 탠 데일린이 직접 개발한 긴우이(GinWui) 룻킷을 가지고 미국 국방부를 공격하면서 세계적인 주목을 받기 시작했다. 해킹을 연구하던 학생들이 어느 시점에 중국 군대에 소속된 것으로 보인다. 탠 데일린은 자신의 블로그에 ‘유급 활동’임을 밝힌 바 있으나 후원자가 누구인지는 아직도 불투명하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
