IP 주소, 데이터 가치, 공격 동기 모두 러시아를 향하고 있어
하지만 모두 정황 증거일 뿐, 결정적 증거 필요해
[보안뉴스 문가용] 다가오는 미국 대선과 미래 미국 정책에 러시아의 사이버 공격자들이 영향력을 발휘하려는 정황들이 계속해서 나타나자 미국 첩보기관 및 정부기관들이 본격적인 수사에 나섰다. 그 결과 최근 발생한 애리조나 및 일리노이즈 유권자 정보 유출 사건으로부터 ‘러시아’를 지목하는 증거가 새롭게 발견됐다.
.jpg)
▲ 방향은 이쪽이 맞는데, 정확히 보이질 않아...
먼저 보안 전문업체인 쓰레트코넥트(ThreatConnect)는 최근 공격을 분석하다가 5.149.294[.]172)라는 IP 주소를 찾아냈다. 해당 IP 주소는 올해 3월부터 8월 사이 터키, 우크라이나, 독일 자유당원들을 겨냥한 스피어피싱 공격이 발현된 곳이다. 이 IP 주소는 애리조나와 일리노이즈의 유권자 등록 정보를 유출 시킨 공격의 침해지표인 것으로 FBI는 파악하고 있다.
“아직 공격의 주체가 누구인지 정확히 밝혀지고 있지는 않습니다. 하지만 수사로 찾아낸 것과 FBI가 제공한 침해지표들을 비교했을 때, 러시아라는 결론이 나옵니다. 물론 정황상 증거라 확언하기는 힘듭니다만.” 쓰레트코넥트의 토니 기드와니(Toni Gidwani)가 설명한다. “해당 IP 주소로부터 우크라이나 정부를 겨냥한 공격이 시작되었다는 걸 알게 된 순간 ‘특정 정부가 배후에 있다’는 걸 알 수 있었습니다.”
쓰레트코넥트에 따르면 해당 IP 주소는 다양한 악성 행위와 관련이 있으며, 특히 소위 ‘사이버전’이라고 분류되는 공격들과 깊이 연결되어 있다고 한다. “하지만 그럼에도 이는 공격 주체를 정확하게 짚어낼 결정적인 증거가 되지 못합니다. 그러므로 공식적으로는 아직도 누가 공격한 것인지 모르는 상태입니다.” 그래서 기드와니는 정부의 후원을 받는 단체인 것처럼 가장한 사이버 갱단이 개입했을 가능성도 열어두고 있다.
IP 주소 외에 또 다른 증거자료가 있다면 피싱 툴 킷이다. 터키와 우크라이나를 공격했던 사이버 스파이들이 당시 사용했던 오픈 소스 피싱 킷인 피싱 프렌지(Phishing Frenzy)가 이번 애리조나 및 일리노이즈 공격에도 발견된 것이다.
RSA의 수석 책임자인 피터 트랜(Peter Tran)은 유출된 정보의 가치를 중심으로 수사를 진행하고 있다. “유권자 정보가 유출되었다고는 하지만 들여다보면 여러 정치 캠페인 및 단체들에서 지난 수년 간 계속해서 사용해오고 대중에게 공개해온 정보들입니다. 그러나 엄연히 따지면 개인정보에 속하고, 다른 정보와 결합했을 때 의외의 가치를 가질 수 있는 것이기도 합니다. 어떤 시각으로 보느냐에 따라 가치 산출이 달라질 수 있다는 뜻입니다.”
여기서부터 역추적하면 가장 이득을 본 사람이 나올 수 있다. 비슷한 방법으로 ‘범행 동기’를 유추해갈 수도 있다. “러시아의 공격자들이 유권자들의 등록 정보를 불법적으로 조작함으로써 선거를 엉망진창으로 만들 가능성도 있습니다.”
하지만 기드와니는 “모든 것이 우연일 가능성과 위장술의 가능성을 완전히 배재할 수는 없다”는 입장이다. “물론 우연이나 위장술이 아니라는 지표들이 있긴 있습니다. 예를 들면 피싱 킷을 저희 쪽에서 발견하니까 공격자들이 바로 치우기도 했는데, 이는 저희가 자신들을 발견하지 못하기를 바랐다는 뜻이 됩니다. 위장이 아닐 가능성이 높아지는 것이죠.”
수사의 어려움은 ‘러시아가 했는데 밝힐 수가 없다’는 것뿐만이 아니다. “정확히 어떤 정보를 찾아내기 위해 애리조나와 일리노이즈의 선거위원회를 공격한 것인지도 알아야 적절한 후속조치를 취할 수 있을 텐데, 그러지 못하고 있고, 심지어 과연 애리조나와 일리노이즈만 당한 것인지도 장담할 수가 없는 상황입니다.”
또 하나의 가능성은 누군가 미국 대선 시스템 자체의 취약점을 알리기 위해 마치 침투 테스터가 된 듯이 공격을 하는 것이다. “이미 정보보안 업계에 홍길동과 같은 미지의 세력이 발견된 바 있죠. 보안을 더 강력하게 해주는 소프트웨어를 ‘멀웨어’인 것처럼 퍼트리는 누군가의 흔적이 작년에 발견된 바 있습니다. 아직도 그게 누구인지 모르고요.”
기드와니는 설명을 잇는다. “목적은 여러 가지일 수 있습니다. 첩보 수집, 여론 만들기, 불신 심기, 기관과 사람들이 의심하게 하기, 혹은 서로 혐오하게 하기 등 다양한 걸 노릴 수 있죠. 누군지 모르지만 투표 절차를 공격하는 건 민주주의라는 시스템 자체에 대한 공격이며, 정확히 이를 노리고 있는 것일 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
하지만 모두 정황 증거일 뿐, 결정적 증거 필요해
[보안뉴스 문가용] 다가오는 미국 대선과 미래 미국 정책에 러시아의 사이버 공격자들이 영향력을 발휘하려는 정황들이 계속해서 나타나자 미국 첩보기관 및 정부기관들이 본격적인 수사에 나섰다. 그 결과 최근 발생한 애리조나 및 일리노이즈 유권자 정보 유출 사건으로부터 ‘러시아’를 지목하는 증거가 새롭게 발견됐다.
▲ 방향은 이쪽이 맞는데, 정확히 보이질 않아...
먼저 보안 전문업체인 쓰레트코넥트(ThreatConnect)는 최근 공격을 분석하다가 5.149.294[.]172)라는 IP 주소를 찾아냈다. 해당 IP 주소는 올해 3월부터 8월 사이 터키, 우크라이나, 독일 자유당원들을 겨냥한 스피어피싱 공격이 발현된 곳이다. 이 IP 주소는 애리조나와 일리노이즈의 유권자 등록 정보를 유출 시킨 공격의 침해지표인 것으로 FBI는 파악하고 있다.
“아직 공격의 주체가 누구인지 정확히 밝혀지고 있지는 않습니다. 하지만 수사로 찾아낸 것과 FBI가 제공한 침해지표들을 비교했을 때, 러시아라는 결론이 나옵니다. 물론 정황상 증거라 확언하기는 힘듭니다만.” 쓰레트코넥트의 토니 기드와니(Toni Gidwani)가 설명한다. “해당 IP 주소로부터 우크라이나 정부를 겨냥한 공격이 시작되었다는 걸 알게 된 순간 ‘특정 정부가 배후에 있다’는 걸 알 수 있었습니다.”
쓰레트코넥트에 따르면 해당 IP 주소는 다양한 악성 행위와 관련이 있으며, 특히 소위 ‘사이버전’이라고 분류되는 공격들과 깊이 연결되어 있다고 한다. “하지만 그럼에도 이는 공격 주체를 정확하게 짚어낼 결정적인 증거가 되지 못합니다. 그러므로 공식적으로는 아직도 누가 공격한 것인지 모르는 상태입니다.” 그래서 기드와니는 정부의 후원을 받는 단체인 것처럼 가장한 사이버 갱단이 개입했을 가능성도 열어두고 있다.
IP 주소 외에 또 다른 증거자료가 있다면 피싱 툴 킷이다. 터키와 우크라이나를 공격했던 사이버 스파이들이 당시 사용했던 오픈 소스 피싱 킷인 피싱 프렌지(Phishing Frenzy)가 이번 애리조나 및 일리노이즈 공격에도 발견된 것이다.
RSA의 수석 책임자인 피터 트랜(Peter Tran)은 유출된 정보의 가치를 중심으로 수사를 진행하고 있다. “유권자 정보가 유출되었다고는 하지만 들여다보면 여러 정치 캠페인 및 단체들에서 지난 수년 간 계속해서 사용해오고 대중에게 공개해온 정보들입니다. 그러나 엄연히 따지면 개인정보에 속하고, 다른 정보와 결합했을 때 의외의 가치를 가질 수 있는 것이기도 합니다. 어떤 시각으로 보느냐에 따라 가치 산출이 달라질 수 있다는 뜻입니다.”
여기서부터 역추적하면 가장 이득을 본 사람이 나올 수 있다. 비슷한 방법으로 ‘범행 동기’를 유추해갈 수도 있다. “러시아의 공격자들이 유권자들의 등록 정보를 불법적으로 조작함으로써 선거를 엉망진창으로 만들 가능성도 있습니다.”
하지만 기드와니는 “모든 것이 우연일 가능성과 위장술의 가능성을 완전히 배재할 수는 없다”는 입장이다. “물론 우연이나 위장술이 아니라는 지표들이 있긴 있습니다. 예를 들면 피싱 킷을 저희 쪽에서 발견하니까 공격자들이 바로 치우기도 했는데, 이는 저희가 자신들을 발견하지 못하기를 바랐다는 뜻이 됩니다. 위장이 아닐 가능성이 높아지는 것이죠.”
수사의 어려움은 ‘러시아가 했는데 밝힐 수가 없다’는 것뿐만이 아니다. “정확히 어떤 정보를 찾아내기 위해 애리조나와 일리노이즈의 선거위원회를 공격한 것인지도 알아야 적절한 후속조치를 취할 수 있을 텐데, 그러지 못하고 있고, 심지어 과연 애리조나와 일리노이즈만 당한 것인지도 장담할 수가 없는 상황입니다.”
또 하나의 가능성은 누군가 미국 대선 시스템 자체의 취약점을 알리기 위해 마치 침투 테스터가 된 듯이 공격을 하는 것이다. “이미 정보보안 업계에 홍길동과 같은 미지의 세력이 발견된 바 있죠. 보안을 더 강력하게 해주는 소프트웨어를 ‘멀웨어’인 것처럼 퍼트리는 누군가의 흔적이 작년에 발견된 바 있습니다. 아직도 그게 누구인지 모르고요.”
기드와니는 설명을 잇는다. “목적은 여러 가지일 수 있습니다. 첩보 수집, 여론 만들기, 불신 심기, 기관과 사람들이 의심하게 하기, 혹은 서로 혐오하게 하기 등 다양한 걸 노릴 수 있죠. 누군지 모르지만 투표 절차를 공격하는 건 민주주의라는 시스템 자체에 대한 공격이며, 정확히 이를 노리고 있는 것일 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
