과거 그라운드베이트 작전과 흡사...하지만 한층 더 고급화
최다 피해 국가는 우크라이나...배후 세력은 아직 밝혀지지 않아

[보안뉴스 문가용 기자] 치명적인 인프라 시설, 과학 연구 시설, 언론 기관 등 다양한 산업군에 포진되어 있는 기관 70여 곳에서 사이버 공격이 발견되었다. 스파잉이 주된 목적으로 보이는 이 공격은 그 규모나 공격의 특징을 봤을 때 국가의 후원을 받고 있는 해킹 단체의 소행으로 보인다. 가장 많은 공격을 받은 나라는 우크라이나고 그 다음은 러시아, 오스트리아, 사우디아라비아 등이다.



이 공격을 발견한 건 보안 전문업체인 사이버엑스(CyberX)로, 먼저는 해당 공격자들이 사용하는 멀웨어를 발견해 리버스 엔지니어링을 한 끝에 캠페인의 전말이 드러나게 되었다. 사이버엑스는 이 공격 캠페인을 버그드롭 작전(Operation BugDrop)이라고 부르고 있다. 피해자의 PC에 탑재된 마이크로폰을 통해 대화를 엿들어 정보를 수집하는 고전적인 방법도 동원되고 있는데 사이버엑스는 “마이크로폰 하드웨어를 일부러 분리하지 않는 이상 비활성화 시키기 어려운 부품이기 때문에 생각보다 효과적인 도청 방법”이라고 설명한다.

버그드롭 작전의 핵심은 이처럼 꾸준한 스파이 활동을 통해 민감한 정보를 수집하는 것이라고 사이버엑스는 설명한다. “이를 위해 위에서처럼 도청이라는 방법도 동원되지만, 스크린샷, 문서를 통해서도 주요 정보를 빼내갑니다. 비밀번호를 훔치는 경우도 있었습니다.” 이 작전의 표적들은 작년 5월 ESET이 발견했던 사이버 감시 캠페인인 그라운드베이트 작전(Operation Groundbait)의 그것과 비슷하다.

그라운드베이트 작전과 버그드롭 작전의 가장 많은 피해자들은 주로 루한시크와 도네츠크에 위치해 있다. 둘 다 우크라이나의 주이지만 우크라이나로부터 독립을 주장하고 있는 상태다. 그러므로 우크라이나 정부는 현재 이 두 주를 ‘테러리스트 주’라고 명명해 대응하고 있다. 그라운드베이트 작전과 버그드롭 작전 모두 스피어피싱과 악성 매크로를 주로 활용한다는 공통점 또한 존재한다.

그렇다고 해서 두 작전이 완전히 동일하다고 보기는 어렵다고 사이버엑스의 부회장인 필 네레이(Phil Neray)는 설명한다. “일단 버그드롭 작전이 훨씬 발달된 버전입니다. 버그드롭은 훔친 정보를 저장하는 데에 드롭박스를 사용합니다. 즉, 불법적 행위를 판별하기가 훨씬 힘들다는 말입니다. 드롭박스는 합법적이고 대중적인 클라우드 서비스이기 때문입니다. 게다가 그냥 저장된 것도 아니고 암호화되어서 저장되죠.”

한편 멀웨어 자체는 무료 웹 호스팅 서비스에 저장되어 있다. 그래서 공격자를 추적하는 게 굉장히 힘들어진다. “그라운드베이트의 경우 멀웨어가 C&C 서버에 저장되어 있었습니다. 그래서 등록정보를 통해 어느 정도 추적이 가능했었죠.” 여기에 멀웨어 탐지 기능을 회피하는 기능까지도 더해졌다. “대표적으로는 Reflective DLL Injection이 있죠. 보통의 윈도우 API 요청을 통과하지 않고 메모리에 악성 코드를 주입하는 방법입니다. 우크라이나 정전 사태 때나 스턱스넷 공격 당시 사용되었던 방법이기도 합니다.”

현재 버그드롭 작전에 사용되고 있는 드롭박스 계정에 매일 2~3GB의 비정형 데이터가 업로드 되고 있다. 이는 버그드롭 작전의 운영자들이 데이터 저장 및 복호화를 위한 자체 인프라를 갖추고 있다는 뜻이라고 사이버엑스는 설명한다. “게다가 실력이 좋은 분석가도 그 멤버 중에 있는 것이 확실합니다. 무슨 신용카드 정보를 훔쳐가는 게 아니거든요. 사람이 봐야 분석이 가능한 정보들이 탈취되고 있는 겁니다. 작은 규모의 단체가 절대 아니라고 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>