오래 전 시작돼 현재까지 이어지는 공격으로 보여...핵 제재와 관련 깊어
[보안뉴스 문가용 기자] 이란의 해킹 단체인 차밍 키튼(Charming Kitten)이 미국 공직에 있는 요원들을 겨냥한 피싱 공격을 펼쳤다. 특히 트럼프 대통령의 이란 경제 제재를 실행에 옮겨야 하는 사람들을 겨냥한 공격이었다고 한다.
[이미지 = iclickart]
이를 발견한 건 이란의 사이버 범죄자들을 집중해서 추적하는 보안 팀인 서트파(Certfa)로, 지메일과 야후 이메일 주소들이 수집되어 있는 공격자들의 서버가 열려 있는 걸 우연히 찾아낸 것이 시작이었다. 이 이메일을 조사해보니 미국 재무부에서 근무하는 공무원들의 것들이 많았다. 그것도 업무용 공공 메일이 아니라 개인 메일이었다. 오바마 행정부 시절 이란 핵 협상에 찬성한 사람들과 반대한 사람들의 것들도 포함되어 있었다.
“이란이라는 국가에 군사적, 경제적 제재 조치를 실제로 취해야 하는 일에 관련된 사람들 하나하나를 겨냥한, 표적형 공격이었습니다. 세계 여러 정치인들과 민간인, 인권 단체 활동가와 기자들도 공격 대상으로 선정된 것으로 보였습니다.” 서트파가 자사 블로그를 통해 밝힌 내용이다.
조사를 통해 서트파는 accounts.support.services라는 도메인을 하나 발견했다. 이에 대해 서트파는 “이란 정부가 지원하는 해킹 그룹과 관련이 있는 것으로 보이며, 이슬람 혁명 방위군(Islamic Revolutionary Guard Corps)과도 매우 밀접한 관계가 있는 것으로 예상된다”고 설명했다.
또한 이들의 활동이 처음으로 발견되고 한 달 후 차밍 키튼은 공격 범위를 확대시켰다고도 서트파는 말한다. “민간 단체와 인권 활동가, 정치인 및 정치계에서 활발하게 움직이는 인물들과 이란 기자 및 서방 세계 기자들이 공격 대상에 포함되기 시작했습니다.”
당연히 공격자들은 VPN을 사용해 자신들의 위치를 숨기려 했다. 그러나 실제 캠페인을 준비하는 과정 중에서 실제 이란 IP 주소를 사용하기도 했다. “이러면서 드러난 도메인 이름과 서버들이 이전 차밍 키튼의 그것과 비슷하거나 같았습니다. 미국과 이스라엘을 겨냥한 공격의 수위도 높이고, 기술도 더 날카로워졌다는 차이점이 있긴 했습니다.”
또 다른 보안 업체 사이버리즌(Cybereason)의 CIO인 이스라엘 바락(Israel Barak)은 “이란은 물론 모든 국가들이 이미 수십년도 넘게 서로를 해킹해왔다”며 “아마 갈수록 더 공격적이고 사나워질 것”이라고 예상한다. “지금은 새로운 스파이의 시대입니다. 통신 기술에 능한 국가가 유리한 고지를 점령하고 있고요. 냉전시대와 같아요. 다만 사용하는 기술이 달라졌을 뿐이죠.”
바락 역시 “서트파가 공개한 내용을 통해 보면 이전 차밍 키튼 및 다른 이란 해커들의 모습과 비슷한 것들이 보인다”며 “이란이 핵 제재와 관련된 인사들을 표적으로 삼아 정찰을 하려고 했던 것 같다”고 말한다. 또한 “아마도 현재도 진행 중인 캠페인일 가능성이 높아 보인다”고도 덧붙였다.
서트파는 “오바마 시절의 인사 목록도 있는 걸 보면 작전이 꽤나 긴 시간 진행되어 온 것으로 보인다”며, “이란은 미국 및 국제적 제제 동향에 대해 굉장히 궁금했었던 것 같다”고 설명했다.
3줄 요약
1. 이란 정부가 운영하는 해킹 조직, 차밍 키튼, 실수로 서버 하나 열어둠.
2. 업체가 이를 발견해 공격 대상자 이메일 명단 확보. 조사해보니 제재 관련자들 많음.
3. 오래 전부터 미국 관찰해온 것으로 보임. 핵 제재와 관련해 미국의 마음 알고 싶었던 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>