얼마 전 프랑스와 이란의 불꽃 튀는 신경전의 한 가운데에 있게 된 매체 샤를리에브도에서 해킹 사고가 발생했다. 구독자 정보가 새나간 것인데, 그 배후에 이란 정부가 있는 것으로 밝혀졌다. 잡지 하나 구독한 것 때문에 이슬람 극단주의자들을 실제적으로 두려워해야 하는 상황이다.
[보안뉴스 문가용 기자] 스스로를 거룩한 영혼(Holy Souls)이라고 부르는 해킹 단체가 최근 프랑스의 풍자 전문 잡지 매체인 샤를리에브도(Charlie Hebdo)의 데이터베이스에 접근하는 데 성공하는 사건이 발생했다. 이를 통해 공격자들은 잡지 구독자 20만여 명의 정보를 앗아갈 수 있었고, 이를 가지고 협박과 신상 털기 공격을 이어갈 것이라고 한다. IT 업체 MS는 이 공격자들이 이란의 APT인 넵투늄(Neptunium)이라고 발표했다.
[이미지 = utoimage]
지난 12월 샤를리에브도는 그림 대회를 열었다. 세계의 독자들을 대상으로 진행한 것으로 주제는 이란의 최고 통치자인 알리 하메네이를 우스꽝스럽게 그리라는 것이었다. 2015년 샤를리에브도에서 발생한 테러 사건의 8주년을 추모하는 행사였다. 무슬림 사이에서 성자로 추앙받는 모하메드 예언자를 풍자한 것에 대한 보복으로 벌어진 2015년 테러 사건 당시 샤를리에브도 직원 12명이 사망했다. 그에 대한 보복으로 이번엔 하메네이를 조롱하겠다고 한 것이다. 그러고 나서 해킹 사고가 벌어졌다.
이번에는 구독자들도 위험할 수 있다
사건을 조사한 마이크로소프트는 넵투늄이라는 APT 단체가 이 사건의 배후에 있다고 공개했다. 여러 가지 기록과 아티팩트들을 수집해 분석했을 때 넵투늄이 자연스럽게 물망에 올랐다고 한다. “이란 정부 차원에서 샤를리에브도에 강력하게 항의를 했던 적이 있습니다. 넵투늄은 항의가 발표되는 시점과 정확히 맞물리는 시간에 공격을 시작했습니다. 전부 1월 초에 벌어진 일이죠.”
공격을 성공시킨 후 넵투늄은 “샤를리에브도 구독자들의 개인정보에 접근하는 데 성공했다”고 발표했다. 이름, 전화번호, 우편 주소, 이메일 주소, 금융 정보들을 몽땅 열람했다고도 주장했다. 그러면서 일부 샘플을 공개해 자신들의 주장이 사실임을 입증하기도 했다. 그러면서 20비트코인에 판매한다고 했는데, 이는 약 34만 달러 정도에 해당하는 돈이라고 MS는 설명했다.
MS는 “이 정보가 유출된다면 - 이미 일부는 유출됐지만 - 구독자들이 물리적인 위험에 노출된다”고 평가한다. “무슬림 극단주의자들은 누구라도 표적으로 삼습니다. 그들에게 있어 샤를리에브도는 극악한 존재일 것이고, 그들에 돈을 대는 구독자들 역시 마찬가지일 겁니다. 현재 이란 정부의 APT 단체가 구독자들의 신상을 털어갔다는 건 매우 실질적인 위협이고, 어떤 사건이 벌어져도 이상할 것이 없는 상황이라고 해야 합니다.”
이란의 여론 조작 작전
넵투늄이 샤를리에브도를 침해하기 위해 보여준 전략과 방식은 그 동안 이란의 다른 APT 단체들이 보여준 그것과 대동소이 하다. 핵티비스트로 보이는 단체의 이름(이 경우는 홀리소울즈)으로 공격이 자신들의 소행임을 발표한다든지, 개인적인 기밀과 민감한 정보를 노린다든지, 가짜 소셜미디어 인격체를 만들어 자신들과 관련된 소식을 크게 확산시킨다든지 하는 것들이 이란 공격자들의 흔한 패턴이라고 해도 무방하다.
“공격자들은 프랑스의 유명 테크 관련 인사와 샤를리에브도의 편집자 한 명을 사칭한 소셜미디어 계정을 만들기도 했습니다. 그리고 이 계정들을 통해 유출된 정보의 스크린샷을 업로드하기 시작했죠. 또한 이 사건과 관련된 매체 보도를 이 두 계정으로 계속해서 퍼나르기 시작했습니다. 샤를리에브도가 프랑스 정부의 사주를 받고 콘텐츠를 제작한다는 비판 여론을 조성하려고 하기도 했습니다.” MS의 설명이다.
넵투늄은 미국 사법부 편에서 에머넷파사가드(Emennet Pasargad)라는 이름으로 추적하고 있는 단체다. 그 동안 여러 건의 사이버 공격 및 캠페인을 자행함으로써 이름을 알려왔는데, 주로 사이버 공간에서 여론을 형성하고 조작하려는 시도를 해왔다. “특히 미국의 회사와 기관들을 자주 공격하는데, 최근 들어 이처럼 미국을 자주 공격하는 이란 APT 단체들을 찾기 힘들 지경입니다. 현 시점에서 이들의 표적은 오로지 미국인 것처럼 보입니다.” 이들은 2020년 미국 총선에도 개입하려 했고, 미국 극우 단체인 프라우드보이즈(Proud Boys)를 사칭하기도 했었다.
넵투늄의 전략과 방식 : 정찰과 웹 검색
FBI는 넵투늄이 처음 간단한 웹 검색을 통해 공격 대상에 대해 조사한다고 한다. “그런 후에는 공격 대상이 사용할 법한 소프트웨어들이 무엇인지 알아내고, 그 소프트웨어들에서 발견된 취약점 정보를 찾습니다. 특정 조직을 겨냥해서 공격할 때도 있지만 하나의 사업이나 네트워크 전체를 광범위하게 공격할 때도 있습니다. 호스팅 서비스를 공략할 때도 있고요.”
넵투늄이 특별히 선호하는 것처럼 보이는 공격 대상이 있다고 FBI는 설명을 잇는다. PHP 코드를 포함한 웹 페이지와 외부에서 접근 가능한 MySQL 데이터베이스들이다. 그 외에 워드프레스 플러그인들이 설치된 웹사이트도 이들이 좋아하는 표적으로 꼽힌다. 드루팔(Drupal), 아파치톰캣(Apache Tomcat), 씨케디터(Ckeditor), 피케디터(Fckeditor)를 기본으로 한 웹사이트 역시 이들이 자주 공략한다고 한다.
“넵투튬은 디폴트 비밀번호들을 대입하는 식으로 공격을 진행하기도 합니다. 관리자나 로그인 페이지들을 찾아내 침해하는 것도 자주 보여주는 공격 전략입니다. 즉 로그인이 되는 페이지에는 흔한 평문 비밀번호를 죄다 대입한다고 볼 수 있습니다. 기본적인 방어를 통해 충분히 차단할 수 있는 전략입니다.”
3줄 요약
1. 프랑스의 풍자 잡지 샤를리에브도, 8년 전 사건 추모하며 이란 통치자 조롱.
2. 이에 이란 정부는 강력히 항의하고, 물밑에서는 APT 이용해 해킹 공격 실시.
3. 공격자들의 손에 샤를리에브도 구독자 정보 넘어감.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 스스로를 거룩한 영혼(Holy Souls)이라고 부르는 해킹 단체가 최근 프랑스의 풍자 전문 잡지 매체인 샤를리에브도(Charlie Hebdo)의 데이터베이스에 접근하는 데 성공하는 사건이 발생했다. 이를 통해 공격자들은 잡지 구독자 20만여 명의 정보를 앗아갈 수 있었고, 이를 가지고 협박과 신상 털기 공격을 이어갈 것이라고 한다. IT 업체 MS는 이 공격자들이 이란의 APT인 넵투늄(Neptunium)이라고 발표했다.
[이미지 = utoimage]
지난 12월 샤를리에브도는 그림 대회를 열었다. 세계의 독자들을 대상으로 진행한 것으로 주제는 이란의 최고 통치자인 알리 하메네이를 우스꽝스럽게 그리라는 것이었다. 2015년 샤를리에브도에서 발생한 테러 사건의 8주년을 추모하는 행사였다. 무슬림 사이에서 성자로 추앙받는 모하메드 예언자를 풍자한 것에 대한 보복으로 벌어진 2015년 테러 사건 당시 샤를리에브도 직원 12명이 사망했다. 그에 대한 보복으로 이번엔 하메네이를 조롱하겠다고 한 것이다. 그러고 나서 해킹 사고가 벌어졌다.
이번에는 구독자들도 위험할 수 있다
사건을 조사한 마이크로소프트는 넵투늄이라는 APT 단체가 이 사건의 배후에 있다고 공개했다. 여러 가지 기록과 아티팩트들을 수집해 분석했을 때 넵투늄이 자연스럽게 물망에 올랐다고 한다. “이란 정부 차원에서 샤를리에브도에 강력하게 항의를 했던 적이 있습니다. 넵투늄은 항의가 발표되는 시점과 정확히 맞물리는 시간에 공격을 시작했습니다. 전부 1월 초에 벌어진 일이죠.”
공격을 성공시킨 후 넵투늄은 “샤를리에브도 구독자들의 개인정보에 접근하는 데 성공했다”고 발표했다. 이름, 전화번호, 우편 주소, 이메일 주소, 금융 정보들을 몽땅 열람했다고도 주장했다. 그러면서 일부 샘플을 공개해 자신들의 주장이 사실임을 입증하기도 했다. 그러면서 20비트코인에 판매한다고 했는데, 이는 약 34만 달러 정도에 해당하는 돈이라고 MS는 설명했다.
MS는 “이 정보가 유출된다면 - 이미 일부는 유출됐지만 - 구독자들이 물리적인 위험에 노출된다”고 평가한다. “무슬림 극단주의자들은 누구라도 표적으로 삼습니다. 그들에게 있어 샤를리에브도는 극악한 존재일 것이고, 그들에 돈을 대는 구독자들 역시 마찬가지일 겁니다. 현재 이란 정부의 APT 단체가 구독자들의 신상을 털어갔다는 건 매우 실질적인 위협이고, 어떤 사건이 벌어져도 이상할 것이 없는 상황이라고 해야 합니다.”
이란의 여론 조작 작전
넵투늄이 샤를리에브도를 침해하기 위해 보여준 전략과 방식은 그 동안 이란의 다른 APT 단체들이 보여준 그것과 대동소이 하다. 핵티비스트로 보이는 단체의 이름(이 경우는 홀리소울즈)으로 공격이 자신들의 소행임을 발표한다든지, 개인적인 기밀과 민감한 정보를 노린다든지, 가짜 소셜미디어 인격체를 만들어 자신들과 관련된 소식을 크게 확산시킨다든지 하는 것들이 이란 공격자들의 흔한 패턴이라고 해도 무방하다.
“공격자들은 프랑스의 유명 테크 관련 인사와 샤를리에브도의 편집자 한 명을 사칭한 소셜미디어 계정을 만들기도 했습니다. 그리고 이 계정들을 통해 유출된 정보의 스크린샷을 업로드하기 시작했죠. 또한 이 사건과 관련된 매체 보도를 이 두 계정으로 계속해서 퍼나르기 시작했습니다. 샤를리에브도가 프랑스 정부의 사주를 받고 콘텐츠를 제작한다는 비판 여론을 조성하려고 하기도 했습니다.” MS의 설명이다.
넵투늄은 미국 사법부 편에서 에머넷파사가드(Emennet Pasargad)라는 이름으로 추적하고 있는 단체다. 그 동안 여러 건의 사이버 공격 및 캠페인을 자행함으로써 이름을 알려왔는데, 주로 사이버 공간에서 여론을 형성하고 조작하려는 시도를 해왔다. “특히 미국의 회사와 기관들을 자주 공격하는데, 최근 들어 이처럼 미국을 자주 공격하는 이란 APT 단체들을 찾기 힘들 지경입니다. 현 시점에서 이들의 표적은 오로지 미국인 것처럼 보입니다.” 이들은 2020년 미국 총선에도 개입하려 했고, 미국 극우 단체인 프라우드보이즈(Proud Boys)를 사칭하기도 했었다.
넵투늄의 전략과 방식 : 정찰과 웹 검색
FBI는 넵투늄이 처음 간단한 웹 검색을 통해 공격 대상에 대해 조사한다고 한다. “그런 후에는 공격 대상이 사용할 법한 소프트웨어들이 무엇인지 알아내고, 그 소프트웨어들에서 발견된 취약점 정보를 찾습니다. 특정 조직을 겨냥해서 공격할 때도 있지만 하나의 사업이나 네트워크 전체를 광범위하게 공격할 때도 있습니다. 호스팅 서비스를 공략할 때도 있고요.”
넵투늄이 특별히 선호하는 것처럼 보이는 공격 대상이 있다고 FBI는 설명을 잇는다. PHP 코드를 포함한 웹 페이지와 외부에서 접근 가능한 MySQL 데이터베이스들이다. 그 외에 워드프레스 플러그인들이 설치된 웹사이트도 이들이 좋아하는 표적으로 꼽힌다. 드루팔(Drupal), 아파치톰캣(Apache Tomcat), 씨케디터(Ckeditor), 피케디터(Fckeditor)를 기본으로 한 웹사이트 역시 이들이 자주 공략한다고 한다.
“넵투튬은 디폴트 비밀번호들을 대입하는 식으로 공격을 진행하기도 합니다. 관리자나 로그인 페이지들을 찾아내 침해하는 것도 자주 보여주는 공격 전략입니다. 즉 로그인이 되는 페이지에는 흔한 평문 비밀번호를 죄다 대입한다고 볼 수 있습니다. 기본적인 방어를 통해 충분히 차단할 수 있는 전략입니다.”
3줄 요약
1. 프랑스의 풍자 잡지 샤를리에브도, 8년 전 사건 추모하며 이란 통치자 조롱.
2. 이에 이란 정부는 강력히 항의하고, 물밑에서는 APT 이용해 해킹 공격 실시.
3. 공격자들의 손에 샤를리에브도 구독자 정보 넘어감.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
