러시아의 첩보부 GRU 소속의 해커들...74455부대 혹은 샌드웜의 일원
조용하면서도 파괴적이라는 특징 가지고 있어...현재는 미 대선 노리는 중일 것
[보안뉴스 문가용 기자] 러시아 군에 소속돼 각종 해킹 작전에 참여한 조직원 여섯 명의 신원이 공개됐다. 이들은 2015년 우크라이나 전력 공급 중단 사태와 2017년 낫페트야(NotPetya) 사건을 일으킨 장본인들이다. 2018년에는 평창 동계올림픽 인프라를 공격하기도 했었다. 미국 사법부가 공개한 기소장에 따르면 이들은 러시아 첩보국인 GRU 내 74455부대 소속으로, 보안 업계에서는 샌드웜(Sandworm), APT28, 부두 베어(VooDoo Bear) 등으로 알려져 있다.
[이미지 = utoimage]
이번에 기소된 6명의 범죄 행적은 다음과 같다.
1) 2015년 12월~2016년 12월 : 블랙에너지(BlackEnergy), 인더스트로이어(Industroyer), 킬디스크(KillDisk)라는 멀웨어들을 사용해 우크라이나 전력 공급 시설, 재무부, 금융부 공격
2) 2017년 : 멀웨어와 데이터 유출 등의 전략을 사용하여 프랑스 선거에 개입
3) 2017년 6월 : 랜섬웨어인 척 파괴형 멀웨어인 낫페트야 사건 일으킴. 이로 인해 10억 달러의 피해를 세 곳의 미국 조직으로부터 일으킴.
4) 2018년 2월 : 올림픽 디스트로이어(Olympic Destroyer) 멀웨어를 사용해 평창 하계올림픽 공격.
5) 2018년 4월 : 영국에서 발생한 세르게이 스크리팔(Sergei Skripal) 독살 사건을 수사하는 조직을 겨냥한 스피어피싱 공격.
6) 그 외 : 조지아의 미디어 기업 한 곳과 정부 기관들을 겨냥한 사이버 공격.
전부 러시아 정부의 명령을 받아 수행된 것이라고 미국 사법부는 주장했다.
기자회견장에서 사법부의 국가안부법무차관인 존 데머스(John Demers)는 “러시아처럼 사이버전 능력을 광범위하게 악의적으로 활용한 국가는 이전까지 없었다”며 “작은 전략적 이득을 취하기 위해 주변에도 어마어마한 피해를 일으키는 걸 전혀 거리끼지 않는다”고 강력하게 비판했다. 그러면서 다음 6명의 이름을 공개했다.
1) 유리 세르게이비치 안드리엔코(Yuriy Sergeyevich Andrienko, 32)
2) 세르게이 블라디미로비치 데티스토브(Sergey Vladimirovich Detistov, 35)
3) 파벨 발러예비치 프롤로브(Pavel Valeryevich Frolov, 28)
4) 아나톨리 세르게이비치 코발레브(Anatoliy Sergeyevich Kovalev, 29)
5) 아르템 발러예비치 오치첸코(Artem Valeryevich Ochichenko, 27)
6) 페트르 니콜라예비치 플리스킨(Petr Nikolayevich Pliskin, 32)
GRU가 사법부의 기소장에 등장한 것은 이번이 처음이 아니다. 2018년 10월에도 러시아 GRU 소속 26165 부대원들 중 일부가 기소장에 이름을 올리기도 했다. 이들은 반도핑 조직들을 해킹했었다. 여기에는 위 4)번에 등장한 코발레브가 포함되어 있기도 하다. 이들은 2016년 미국 대선과 관련하여 유권자 데이터베이스에도 침해했다는 혐의를 받고 있다. 뿐만 아니라 러시아 내 부동산 및 암호화폐 관련 업자들도 코발레브는 공격해온 것으로 알려져 있다. 러시아는 자국 조직들에 대한 공격에 엄정하게 대처하는 편인데, 코발레브의 이러한 행위를 GRU가 알고 있는지는 아직 미지수다.
이번 기소장에 등장한 APT 그룹 샌드웜(Sandworm)은 현존하는 해킹 단체 중 가장 왕성하며 가장 높은 공격 성공률을 보여주는 단체 중 하나로 꼽힌다. 파이어아이(FireEye)의 수석 분석가인 존 헐트퀴스트(John Hultquist)는 “이들의 가장 눈에 띄는 차별점은 조용히 정찰만하고 가는 게 아니라 시스템의 파괴를 동반한다는 것”이라고 지적한다. “이들은 다가오는 대선도 망가트리기 위해 현재도 공작을 진행 중에 있을 것입니다. 반드시 지켜봐야 할 단체입니다.”
시스코 탈로스(Cisco Talos) 팀의 위협 첩보 분석가인 맷 올니(Matt Olney)는 이번 사법부의 수사에 참여했던 인물로 샌드웜에 대해 “탐지가 무척이나 까다로운 조직”이라고 설명한다. “조용히 활동하는 방법을 그 누구보다 잘 이해하고 있는 사람들입니다. 그래서 이들이 탐지되는 대부분의 경우는, 이들이 의도적으로 자신들의 흔적을 남길 때입니다. 그렇기 때문에 보통은 시스템이 망가져서 불능인 상태가 되어야 이들이 왔다 갔음을 인지하게 됩니다.”
이번 기소장 공개로 인해 샌드웜의 활동을 더 잘 인지하게 된다거나, 그들의 활동 범위가 줄어드는 일은 없을 것이라고 헐트퀴스트는 짚는다. “그렇기 때문에 사실상 이번 발표로 대선 시스템이 더 안전해진 건 아닙니다. 아마 상당한 작전 수행이 진행되었을 것이고, 지금도 계속해서 그럴 것입니다. 다만 이렇게 실명을 공개함으로써 그들이 개인적으로라도 러시아에서 출국하는 것이 대단히 위험성이 큰 일이 되어 버렸습니다. 장기적으로는 이들의 공작에 방해가 될 것입니다.”
이들이 실제 출국했다가 미국의 동맹국에 체포되었을 경우, 그래서 미국으로 송환돼 법적 심판을 받을 경우 혐의별로 최소 5년에서 최대 27년의 징역형을 선고받을 수 있게 된다. 이들 각 사람에겐 여러 개의 혐의가 걸려 있으므로 결과적으로는 사실상 무기징역에 가까운 결과를 얻을 가능성이 높다. “이번에 기소된 6인은 상당히 젊은 사람들입니다. 아직 30대에 있는 사람들이 러시아 바깥으로 한 발자국도 옮기기 힘든 상태가 되었다는 것이 작은 일일 수 없습니다.” 헐트퀴스트의 설명이다.
3줄 요약
1. 미국 사법부, 러시아 샌드웜 조직원 6명 기소.
2. 이들은 우크라이나 정전 사태, 낫페트야 사건, 평창 올림픽 해킹 공격의 배후 인물들.
3. 샌드웜의 가장 큰 특징은 조용하고 파괴적이라는 것.
[국제부 문가용 기자(globoan@boannews.com)]
조용하면서도 파괴적이라는 특징 가지고 있어...현재는 미 대선 노리는 중일 것
[보안뉴스 문가용 기자] 러시아 군에 소속돼 각종 해킹 작전에 참여한 조직원 여섯 명의 신원이 공개됐다. 이들은 2015년 우크라이나 전력 공급 중단 사태와 2017년 낫페트야(NotPetya) 사건을 일으킨 장본인들이다. 2018년에는 평창 동계올림픽 인프라를 공격하기도 했었다. 미국 사법부가 공개한 기소장에 따르면 이들은 러시아 첩보국인 GRU 내 74455부대 소속으로, 보안 업계에서는 샌드웜(Sandworm), APT28, 부두 베어(VooDoo Bear) 등으로 알려져 있다.
[이미지 = utoimage]
이번에 기소된 6명의 범죄 행적은 다음과 같다.
1) 2015년 12월~2016년 12월 : 블랙에너지(BlackEnergy), 인더스트로이어(Industroyer), 킬디스크(KillDisk)라는 멀웨어들을 사용해 우크라이나 전력 공급 시설, 재무부, 금융부 공격
2) 2017년 : 멀웨어와 데이터 유출 등의 전략을 사용하여 프랑스 선거에 개입
3) 2017년 6월 : 랜섬웨어인 척 파괴형 멀웨어인 낫페트야 사건 일으킴. 이로 인해 10억 달러의 피해를 세 곳의 미국 조직으로부터 일으킴.
4) 2018년 2월 : 올림픽 디스트로이어(Olympic Destroyer) 멀웨어를 사용해 평창 하계올림픽 공격.
5) 2018년 4월 : 영국에서 발생한 세르게이 스크리팔(Sergei Skripal) 독살 사건을 수사하는 조직을 겨냥한 스피어피싱 공격.
6) 그 외 : 조지아의 미디어 기업 한 곳과 정부 기관들을 겨냥한 사이버 공격.
전부 러시아 정부의 명령을 받아 수행된 것이라고 미국 사법부는 주장했다.
기자회견장에서 사법부의 국가안부법무차관인 존 데머스(John Demers)는 “러시아처럼 사이버전 능력을 광범위하게 악의적으로 활용한 국가는 이전까지 없었다”며 “작은 전략적 이득을 취하기 위해 주변에도 어마어마한 피해를 일으키는 걸 전혀 거리끼지 않는다”고 강력하게 비판했다. 그러면서 다음 6명의 이름을 공개했다.
1) 유리 세르게이비치 안드리엔코(Yuriy Sergeyevich Andrienko, 32)
2) 세르게이 블라디미로비치 데티스토브(Sergey Vladimirovich Detistov, 35)
3) 파벨 발러예비치 프롤로브(Pavel Valeryevich Frolov, 28)
4) 아나톨리 세르게이비치 코발레브(Anatoliy Sergeyevich Kovalev, 29)
5) 아르템 발러예비치 오치첸코(Artem Valeryevich Ochichenko, 27)
6) 페트르 니콜라예비치 플리스킨(Petr Nikolayevich Pliskin, 32)
GRU가 사법부의 기소장에 등장한 것은 이번이 처음이 아니다. 2018년 10월에도 러시아 GRU 소속 26165 부대원들 중 일부가 기소장에 이름을 올리기도 했다. 이들은 반도핑 조직들을 해킹했었다. 여기에는 위 4)번에 등장한 코발레브가 포함되어 있기도 하다. 이들은 2016년 미국 대선과 관련하여 유권자 데이터베이스에도 침해했다는 혐의를 받고 있다. 뿐만 아니라 러시아 내 부동산 및 암호화폐 관련 업자들도 코발레브는 공격해온 것으로 알려져 있다. 러시아는 자국 조직들에 대한 공격에 엄정하게 대처하는 편인데, 코발레브의 이러한 행위를 GRU가 알고 있는지는 아직 미지수다.
이번 기소장에 등장한 APT 그룹 샌드웜(Sandworm)은 현존하는 해킹 단체 중 가장 왕성하며 가장 높은 공격 성공률을 보여주는 단체 중 하나로 꼽힌다. 파이어아이(FireEye)의 수석 분석가인 존 헐트퀴스트(John Hultquist)는 “이들의 가장 눈에 띄는 차별점은 조용히 정찰만하고 가는 게 아니라 시스템의 파괴를 동반한다는 것”이라고 지적한다. “이들은 다가오는 대선도 망가트리기 위해 현재도 공작을 진행 중에 있을 것입니다. 반드시 지켜봐야 할 단체입니다.”
시스코 탈로스(Cisco Talos) 팀의 위협 첩보 분석가인 맷 올니(Matt Olney)는 이번 사법부의 수사에 참여했던 인물로 샌드웜에 대해 “탐지가 무척이나 까다로운 조직”이라고 설명한다. “조용히 활동하는 방법을 그 누구보다 잘 이해하고 있는 사람들입니다. 그래서 이들이 탐지되는 대부분의 경우는, 이들이 의도적으로 자신들의 흔적을 남길 때입니다. 그렇기 때문에 보통은 시스템이 망가져서 불능인 상태가 되어야 이들이 왔다 갔음을 인지하게 됩니다.”
이번 기소장 공개로 인해 샌드웜의 활동을 더 잘 인지하게 된다거나, 그들의 활동 범위가 줄어드는 일은 없을 것이라고 헐트퀴스트는 짚는다. “그렇기 때문에 사실상 이번 발표로 대선 시스템이 더 안전해진 건 아닙니다. 아마 상당한 작전 수행이 진행되었을 것이고, 지금도 계속해서 그럴 것입니다. 다만 이렇게 실명을 공개함으로써 그들이 개인적으로라도 러시아에서 출국하는 것이 대단히 위험성이 큰 일이 되어 버렸습니다. 장기적으로는 이들의 공작에 방해가 될 것입니다.”
이들이 실제 출국했다가 미국의 동맹국에 체포되었을 경우, 그래서 미국으로 송환돼 법적 심판을 받을 경우 혐의별로 최소 5년에서 최대 27년의 징역형을 선고받을 수 있게 된다. 이들 각 사람에겐 여러 개의 혐의가 걸려 있으므로 결과적으로는 사실상 무기징역에 가까운 결과를 얻을 가능성이 높다. “이번에 기소된 6인은 상당히 젊은 사람들입니다. 아직 30대에 있는 사람들이 러시아 바깥으로 한 발자국도 옮기기 힘든 상태가 되었다는 것이 작은 일일 수 없습니다.” 헐트퀴스트의 설명이다.
3줄 요약
1. 미국 사법부, 러시아 샌드웜 조직원 6명 기소.
2. 이들은 우크라이나 정전 사태, 낫페트야 사건, 평창 올림픽 해킹 공격의 배후 인물들.
3. 샌드웜의 가장 큰 특징은 조용하고 파괴적이라는 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
