또 다른 강력한 용의자 구시퍼 2.0, 러시아의 연막일수도
[보안뉴스 문가용] 미국 대선에서 자꾸만 해킹 공격 소식이 들린다. 공화당과 민주당 양측이 모두 당하고 있지만 공화당을 겨냥한 공격은 대부분 도날드 트럼프 후보에 한정되어 있는데 반해 민주당 측을 향한 공격은 민주국가위원회(DNC)를 직접 타격하고 있다.
게다가 민주당 측의 힐러리 클린턴 후보가 공무에 개인 이메일을 사용했다는 사실이 드러나 FBI의 수사를 받기도 하는 가운데 도널드 트럼프 후보는 공개석상에서 러시아를 지목해 “클린턴의 이메일 내용을 공개하라”고 해 선거철은 더욱 소란스러워지고 있다. DNC는 지난 주 FBI와 크라우드스트라이크(CrowdStrike)가 공조하여 수사를 시작했다고 발표했다.
투표일이 아직 한참 남은 가운데, 앞으로도 미국 대선을 둘러 싼 해킹 공격 소식들은 계속해서 들려올 것으로 보인다. 정말 미국이 주장하는 대로 러시아 해커들의 소행인 것인지, 어떤 목적을 가지고 한 것인지 앞으로도 계속해서 드러나며 어떤 충격을 대중들에게 선사할지 예측이 불가능하다. 먼저 여태까지 일어난 일들을 정리해보았다.
1. 러시아 정부가 후원하는 자들이 공격했다 - 중론
DNC 해킹에 있어서 FBI부터도 러시아가 제일 의심이 간다고 발표했다. 하지만 확실하게 러시아가 그랬다고 단언하지는 못하고 있다. 2014년 겨울에 발생한 소니 해킹 사태 때와 매우 비슷하다. 당시도 미국 정부는 북한의 소행이라고는 했지만 못을 박아두지는 못했다.
보안 전문업체인 파이어아이(FireEye)의 크리스토퍼 포터(Christopher Porter)는 “이번에 분석한 멀웨어 샘플이 러시아 단체들이 이전에 사용해왔던 악성 코드들과 매우 흡사하다”며 FBI의 발표 내용을 지지했다. DNC가 직접 도움을 요청한 크라우드스트라이크도 조사 결과 비슷한 결과를 얻었다.
DNC 해킹 사건의 경우, 약 2만 여건의 이메일이 해커들에게 흘러들어갔으며 이메일에는 민감한 내용들이 다량 포함되어 있었다고 알려져 있다.
2. 동기 역시 매우 불투명하지만...
보안 전문가들의 의견은 매우 다양하다. 게다가 이런 뜨거운 키워드를 가지고 회사 및 제품 홍보를 하려는 사람들도 이 판에 뛰어든다. 노이즈가 늘어나고 실제 도움이 되는 분석내용을 찾기는 더욱 힘들어진다.
대부분 러시아의 소행이라고 결론을 내리고 있지만 크립트존(Cryptzone)의 리오 태디오(Leo Taddeo)는 조금 다른 의견을 가지고 있다. “러시아 해커들의 소행일 확률이 높은 것은 사실입니다. 하지만 과연 푸틴이 트럼프를 도와서 얻는 이익이 뭐가 있을까 생각해봐야 합니다. 그렇다면 왜 DNC쪽으로만 공격을 하는 것일까요? 유럽의 미사일 방어 및 NATO 확장에 대한 힐러리 클린턴의 스탠스에 영향을 주려는 것 아닐까요?”
DNC가 자꾸만 공격을 당하면 선거는 트럼프 쪽으로 기울 수밖에 없다. “단언하기는 힘들지만 러시아 측은 힐러리 클린턴에게 무언의 압박을 넣으려는 것 같습니다. 유럽의 미사일 방어 정책 및 NATO에 대한 공약을 좀 더 유연하게 가져가라는 메시지가 아닐까 합니다. 그렇게 하지 않으면 선거 결과가 트럼프에게 확 기울게 할 수도 있다는 내용인 것이죠.”
3. 해킹은 점점 정치적인 이슈가 되어간다
대선으로 인한 양당의 해킹 피해가 크게 불거져서 그렇지, 사실 해킹이 점점 정치적으로 변모하는 현상은 이미 계속해서 있어왔다. 먼저, 다크넷에 약 1억 9천만 명의 미국 유권자 정보가 판매되기 시작했다. 주별로 분리가 되어 있는 자료로서 건당 0.5 비트코인(약 330달러)의 가격이 붙었다.
이 상태에서 DNC 서버가 6월 해킹 당해 민주당을 지지하는 유명인들의 민감한 개인정보들도 노출되었다. 톰 행크스와 스티븐 스필버그 감독이 여기에 포함되었다. 한 보안 전문업체은 클리브랜드 근처에서 벌어진 공화당 행사에 누가 참석했는지 파악할 수 있게끔 지역 와이파이 네트워크를 일부러 허술하게 설치하기도 했다.
4. 1800명의 군사 및 정부 요원들의 구글 계정 해킹
러시아 해커들은 매우 바쁘게 움직이기 시작했다. DNC를 노리는 것도 모자라 비틀리(Bitly)라는 단축 URL 서비스 기능을 사용해 악성 링크를 숨기는 방식으로 미군 및 정보 요원 1800여 명의 구글 계정을 노린 것이다.
보안 전문업체인 시큐어웍스(SecureWorks)의 전문가들은 지난 주 이런 식으로 진행되는 대량의 스피어피싱 캠페인은 이미 2015년 중반부터 시작되었으며 TG-4127이라는 러시아발 해킹 단체의 소행이라고 발표한 바 있다. 당시 발견된 바로는, TG-4127의 주요 표적은 구 소비에트 연방 회원국들의 시민들로 특히 러시아에게 반대되는 목소리를 내는 이들이었다. 이것이 점점 확장돼 미군 요원들까지로 옮겨간 것으로 보인다.
TG-4127은 acconts-google.com이라는 도메인을 등록하고, 여기에 구글 로그인 페이지를 스푸핑해서 호스팅한뒤, 해당 URL을 비틀리 단축 URL로 전환해 이메일 메시지에 포함시켜 발송했다. 여기에 걸린 인원은 정확히 1881명이었다.
5. 구시퍼 2.0, 시선 돌리기일 수도 있다
독자적으로 활동하고 있는 해커인 구시퍼 2.0(Guccifer 2.0)이 처음 DNC 해킹의 강력한 용의자로 주목을 받고도 있는데, 시간이 지날수록 러시아의 APT 그룹이 자신들의 행적을 가리기 위해 연막처럼 쳐놓은 미끼일 거라는 의견이 힘을 받고 있다.
“수사나 추적에 혼선을 주기 위함이죠. 여러 가지로 의견이 갈릴 수록 그들에겐 더 이익이니까요.” 크리스토퍼 포터는 구시퍼 2.0이 존재하지 않는 인형일 뿐이라고 믿고 있다. “포렌식 전문가들을 헷갈리게 하기 위함입니다. 구시퍼 2.0은 자신의 공격을 숨기려고 하지도 않았어요. 일부러 들키려고 했다는 인상이 강합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>