미국 대선에 개입하는 사이버 공격자는 정말 러시아?

2016-09-08 11:17
  • 카카오톡
  • 네이버 블로그
  • url
IP 주소, 데이터 가치, 공격 동기 모두 러시아를 향하고 있어
하지만 모두 정황 증거일 뿐, 결정적 증거 필요해


[보안뉴스 문가용] 다가오는 미국 대선과 미래 미국 정책에 러시아의 사이버 공격자들이 영향력을 발휘하려는 정황들이 계속해서 나타나자 미국 첩보기관 및 정부기관들이 본격적인 수사에 나섰다. 그 결과 최근 발생한 애리조나 및 일리노이즈 유권자 정보 유출 사건으로부터 ‘러시아’를 지목하는 증거가 새롭게 발견됐다.


▲ 방향은 이쪽이 맞는데, 정확히 보이질 않아...

먼저 보안 전문업체인 쓰레트코넥트(ThreatConnect)는 최근 공격을 분석하다가 5.149.294[.]172)라는 IP 주소를 찾아냈다. 해당 IP 주소는 올해 3월부터 8월 사이 터키, 우크라이나, 독일 자유당원들을 겨냥한 스피어피싱 공격이 발현된 곳이다. 이 IP 주소는 애리조나와 일리노이즈의 유권자 등록 정보를 유출 시킨 공격의 침해지표인 것으로 FBI는 파악하고 있다.

“아직 공격의 주체가 누구인지 정확히 밝혀지고 있지는 않습니다. 하지만 수사로 찾아낸 것과 FBI가 제공한 침해지표들을 비교했을 때, 러시아라는 결론이 나옵니다. 물론 정황상 증거라 확언하기는 힘듭니다만.” 쓰레트코넥트의 토니 기드와니(Toni Gidwani)가 설명한다. “해당 IP 주소로부터 우크라이나 정부를 겨냥한 공격이 시작되었다는 걸 알게 된 순간 ‘특정 정부가 배후에 있다’는 걸 알 수 있었습니다.”

쓰레트코넥트에 따르면 해당 IP 주소는 다양한 악성 행위와 관련이 있으며, 특히 소위 ‘사이버전’이라고 분류되는 공격들과 깊이 연결되어 있다고 한다. “하지만 그럼에도 이는 공격 주체를 정확하게 짚어낼 결정적인 증거가 되지 못합니다. 그러므로 공식적으로는 아직도 누가 공격한 것인지 모르는 상태입니다.” 그래서 기드와니는 정부의 후원을 받는 단체인 것처럼 가장한 사이버 갱단이 개입했을 가능성도 열어두고 있다.

IP 주소 외에 또 다른 증거자료가 있다면 피싱 툴 킷이다. 터키와 우크라이나를 공격했던 사이버 스파이들이 당시 사용했던 오픈 소스 피싱 킷인 피싱 프렌지(Phishing Frenzy)가 이번 애리조나 및 일리노이즈 공격에도 발견된 것이다.

RSA의 수석 책임자인 피터 트랜(Peter Tran)은 유출된 정보의 가치를 중심으로 수사를 진행하고 있다. “유권자 정보가 유출되었다고는 하지만 들여다보면 여러 정치 캠페인 및 단체들에서 지난 수년 간 계속해서 사용해오고 대중에게 공개해온 정보들입니다. 그러나 엄연히 따지면 개인정보에 속하고, 다른 정보와 결합했을 때 의외의 가치를 가질 수 있는 것이기도 합니다. 어떤 시각으로 보느냐에 따라 가치 산출이 달라질 수 있다는 뜻입니다.”

여기서부터 역추적하면 가장 이득을 본 사람이 나올 수 있다. 비슷한 방법으로 ‘범행 동기’를 유추해갈 수도 있다. “러시아의 공격자들이 유권자들의 등록 정보를 불법적으로 조작함으로써 선거를 엉망진창으로 만들 가능성도 있습니다.”

하지만 기드와니는 “모든 것이 우연일 가능성과 위장술의 가능성을 완전히 배재할 수는 없다”는 입장이다. “물론 우연이나 위장술이 아니라는 지표들이 있긴 있습니다. 예를 들면 피싱 킷을 저희 쪽에서 발견하니까 공격자들이 바로 치우기도 했는데, 이는 저희가 자신들을 발견하지 못하기를 바랐다는 뜻이 됩니다. 위장이 아닐 가능성이 높아지는 것이죠.”

수사의 어려움은 ‘러시아가 했는데 밝힐 수가 없다’는 것뿐만이 아니다. “정확히 어떤 정보를 찾아내기 위해 애리조나와 일리노이즈의 선거위원회를 공격한 것인지도 알아야 적절한 후속조치를 취할 수 있을 텐데, 그러지 못하고 있고, 심지어 과연 애리조나와 일리노이즈만 당한 것인지도 장담할 수가 없는 상황입니다.”

또 하나의 가능성은 누군가 미국 대선 시스템 자체의 취약점을 알리기 위해 마치 침투 테스터가 된 듯이 공격을 하는 것이다. “이미 정보보안 업계에 홍길동과 같은 미지의 세력이 발견된 바 있죠. 보안을 더 강력하게 해주는 소프트웨어를 ‘멀웨어’인 것처럼 퍼트리는 누군가의 흔적이 작년에 발견된 바 있습니다. 아직도 그게 누구인지 모르고요.”

기드와니는 설명을 잇는다. “목적은 여러 가지일 수 있습니다. 첩보 수집, 여론 만들기, 불신 심기, 기관과 사람들이 의심하게 하기, 혹은 서로 혐오하게 하기 등 다양한 걸 노릴 수 있죠. 누군지 모르지만 투표 절차를 공격하는 건 민주주의라는 시스템 자체에 대한 공격이며, 정확히 이를 노리고 있는 것일 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기