정체를 파악하기 힘든 새로운 공격 단체 ‘메타도르’ 출현

2022-09-23 23:36
  • 카카오톡
  • 네이버 블로그
  • url
중동과 아프리카 지역을 위주로 활동하는 것으로 추정되는 해킹 단체가 하나 새로 발견됐다. 실력의 측면에서나 보유한 자원의 측면에서나 매우 풍족해 보인다. 실력이 너무 좋아 흔적도 좀처럼 남기지 않아 분석에도 한계가 있다. 그래서 일단 이런 단체가 있다고 한 보안 업체가 알렸다.

[보안뉴스 문가용 기자] 새로운 공격 단체가 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체와 대학 기관들을 감염시켰다. 이 단체는 여태까지 발견된 적이 없던 그룹으로 보이며, 대단히 복잡한 멀웨어 두 개와 관련이 있는 것으로 조사되고 있다. 처음 발견된 공격 그룹의 출현에 보안 업계가 관심을 보이는 중이다.


[이미지 = utoimage]

이 그룹을 제일 먼저 발견한 건 보안 업체 센티넬원(SentinelOne)이다. 센티넬원은 여기에 메타도르(Metador)라는 이름을 붙였다. 악성 코드에 ‘나는 메타다(I am meta)’라는 문구가 있고, 여러 서버 메시지들이 스페인어로 되어 있기 때문이다. 최소 2020년 12월부터 활동을 시작한 것으로 보이지만 현재까지 한 번도 들킨 적이 없다. 센티넬원의 수석 국장인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 “다른 보안 업체나 정부 기관들과 정부를 공유했지만 그 누구도 이 새 그룹을 본적이 없었다”고 설명한다.

게레로사드와 센티넬원의 또 다른 전문가인 아미타이 벤 슈샨 엘리흐(Amitai Ben Shushan Ehrlich), 그리고 알렉산더 밀렌코스키(Aleksandar Milenkoski)는 메타도르와 관련이 깊은 두 가지 멀웨어에 대한 세부적인 내용을 자사 블로그를 통해 공개했다. 보다 정확히 말하면 멀웨어 ‘플랫폼’이고, 이름은 메타메인(metaMain)과 마팔다(Mafalda)이다. 이 기술 정보를 공개한 이유는 메타메인과 마팔다에 감염된 피해자들을 더 찾아내기 위해서다. 과거 피해 사건에 대한 조사만 진행했지, 현재에는 이 두 멀웨어 플랫폼이 어디에서 어떤 활동을 하고 있는지 알 수 없기 때문이다.

먼저 메타메인은 일종의 백도어다. 마우스의 움직임과 키보드로 입력되는 정보를 로깅할 수 있으며, 스크린샷 캡쳐와 데이터/파일 유출도 가능하다. 그리고 마팔다를 설치하는 기능도 가지고 있다. 마팔다는 모듈 구성의 프레임워크로 피해자의 시스템과 네트워크 정보를 모으는 등의 기능을 가지고 있다. 모듈 구성이기 때문에 공격자가 자유롭게 기능을 추가할 수 있다. 메타메인과 마팔다 모두 메모리 내에서만 작동하고, 하드드라이브에는 아무 흔적도 남기지 않는다.

메타도르는 각 피해자들마다 고유의 IP 주소들을 배정한다는 독특한 특징도 가지고 있다. 그렇기 때문에 C&C 서버 하나가 발각된다 하더라도 공격 인프라의 다른 부분들은 여전히 작동한다. 게다가 발견된 C&C 서버를 통해 다른 피해자들까지 같이 드러나는 사태를 막을 수 있다. 보안 전문가들이 공격 단체를 추적하다가 악성 서버를 발견하고, 거기서부터 여러 피해자들을 알아내는 건 흔히 있는 일이다. 이를 통해 보안 업계는 공격 단체의 활동 범위 등을 파악할 수 있게 된다. 다시 말해 메타도르의 이러한 특징은 분석가들이 공격의 전체적인 상황을 파악할 수 없게 만들기도 한다.

피해자들끼리는 서로 섞이지 않게 했으면서 메타도르는 다른 공격 단체들과는 잘 섞여드는 편이다. 메타도르의 피해자 중 하나였던 중동 통신사의 경우, 이미 10개 이상의 국가 지원 해킹 단체들의 침해를 받은 적이 있었던 곳이었다. 주로 중국이나 이란의 정부와 관련이 있는 단체들이었다고 센티넬원 측은 밝혔다.

한 조직에 여러 공격 단체들이 몰리는 경우는 사이버 공격 및 해킹 세계에서 종종 나타난다. 이럴 때 공격자들은 먼저 왔다 간 다른 공격 단체의 흔적을 지우는 데에 시간을 아낌없이 할애한다. 이 과정을 얼마나 꼼꼼하게 진행하냐면, 다른 공격자들이 익스플로잇 한 취약점을 찾아서 패치하기까지 한다. 자신들의 공격 행위가 누군가에게 드러나는 걸 극도로 꺼리기에 나오는 행동이라고 볼 수 있다. 

하지만 10번 이상이나 이미 공격을 당한 통신사를 다시 공격한 걸 보면 메타도르는 다른 공격자들에 대해 크게 신경 쓰지 않는 것으로 보인다고 센티넬원 측은 설명한다. “물론 공격을 당한 그 회사가 모든 것을 감수할 만큼 가치가 높은 표적이었을 수도 있습니다. 정확한 건 메타도르를 더 추적해 봐야 알겠지요.”

한편 위에 언급된 2개의 멀웨어를 보면 메타도르가 굉장히 든든한 배경을 가지고 있다는 걸 알 수 있다고 센티넬원은 말한다. “멀웨어는 기술적으로도 상당한 수준에 있고, 심지어 계속 개발 중에 있기도 합니다. 이런 멀웨어를 뚜렷한 소득이 남지 않는 공격에 활용하고 또 개발까지 이어간다는 건 누군가 뒤를 봐주고 있다는 뜻일 가능성이 높습니다. 다만 그것이 정부 기관인지 아닌지는 아직 확실히 말하기가 힘든 단계입니다.”

발견만 됐을 뿐 뭔가 결론을 내릴 만큼 관련 정보가 확실히 나온 게 없는 상황에서 메타도르라는 단체를 찾아냈다는 것에는 어떤 의미가 있을까? “이번 발견은 마치 해변가에서 상어 지느러미를 발견한 것과 같다고 생각합니다. 아직 그 밑에 있는 상어가 어떤 모습일지, 얼마나 큰 이빨을 가졌으며, 어떤 걸 주로 먹는지, 아무 것도 모릅니다. 다만 얼른 도망쳐야 할 정도로 위험한 것이 다가오고 있다는 것만 알 뿐이죠. 저희는 그 지느러미 쪽으로 손가락질을 해서 시선을 모았고, 이제 모두가 각자의 위치에서 이 위협을 관찰해 알아낸 것들을 서로에게 공유하는 일이 남았습니다.”

3줄 요약
1. 새로운 해킹 단체인 메타도르, 수면 위로 모습을 살짝 드러냄.
2. 복잡한 고급 멀웨어 두 개를 활용하는 것으로 보임.
3. 그렇게 많은 흔적을 남기고 있지 않아서 수수께끼 투성인 단체.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 현대틸스
      팬틸트 / 카메라

    • 이노뎁

    • 아이브스

    • 아이디스

    • TVT코리아

    • 웹게이트

    • 스누아이랩

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 엔토스정보통신

    • 쿠도커뮤니케이션

    • 슈프리마

    • 비전정보통신

    • 이화트론

    • 지오멕스소프트

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 퀀텀코리아

    • 보이저아이엔씨

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 다후아테크놀로지코리아

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 가드텍

    • 성현시스템

    • 하이앤텍

    • 트루엔

    • 송암시스템

    • 동양유니텍

    • 유에치디프로

    • 디비시스

    • 위트콘

    • 주식회사 에스카

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • (주)우경정보기술

    • 투윈스컴

    • (주)넥스트림

    • 지에스티

    • A3시큐리티

    • 씨게이트

    • 안랩

    • 지니언스

    • 시만텍

    • 소만사

    • 엔피코어

    • 센티넬원

    • 트렌드마이크로

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엔시드

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 보문테크닉스

    • 탄탄코어

    • 다원테크

    • (주)일산정밀

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • 유투에스알

    • 코스템

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 이스트컨트롤

    • 코디텍

    • 티에스아이솔루션
      출입 통제 솔루션

    • 구네보코리아주식회사

    • 디알에스

    • 포커스에이치앤에스

    • 한국화웨이기술

    • 대산시큐리티

    • 케이컨트롤

    • 센스타임

    • 모스타

    • 메트로게이트
      시큐리티 게이트

    • 제네텍

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기