사이버 스파이, 정보 작전, 금전목적 공격 등 올림픽 기간 사이버공격 우려 커져
시스템 마비, 데이터 파괴 공격, 특정 이념 주장 위한 핵티비즘, 허위정보 유포, 여론 조작 등
올림픽 조직위원회와 스폰서, 티켓 시스템, 파리 사회기반시설, 참가선수 등에 영향 미칠 수 있어
[보안뉴스 김경애 기자] 오는 7월부터 8월까지 프랑스 파리에서 열리는 하계 올림픽을 겨냥한 다양한 사이버 위협이 예고되고 있다. 특히 사이버 스파이, 정보 작전, 금전 목적 공격 등 올림픽 기간에 관련 기업과 기관을 대상으로 사이버 공격이 더 빈번하게 발생할 가능성이 크다는 우려가 제기되고 있다.
▲2024년 하계 올림픽을 노리는 잠재적인 위협[자료=맨디언트]
맨디언트는 “파리 올림픽이 기밀 정보를 노리는 사이버 스파이 활동, 시스템을 마비시키거나 데이터를 파괴하는 공격, 금전적인 이익을 노리는 공격, 특정 이념을 주장하기 위한 핵티비즘 활동, 허위 정보를 유포해 여론을 조작하는 정보 작전(Information Operation) 등 수준 높은 사이버 위협에 직면한 것으로 평가되고 있다”며 “사이버 위협은 올림픽 조직위원회와 스폰서, 티켓 시스템, 파리의 사회기반시설, 올림픽 참가 선수와 관객 등 다양한 대상에 영향을 미칠 수 있다”고 우려했다.
이어 맨디언트는 “올림픽 관련 기관은 최신 사이버 위협 정보를 참조해 위협 프로필을 업데이트해야 한다”며 “직원들을 대상으로 보안인식 교육을 실시해 사이버 위협에 대한 경계심을 높이고, 프랑스를 방문하는 다른 국가의 선수와 관중을 위한 여행 관련 사이버 위협 관리 방안도 마련해야 한다”고 당부했다.
1. 사이버 스파이
올림픽에는 주요 국가의 정부 관계자와 고위 결정권자들이 참석한다. 이런 이유로 사이버 스파이 활동을 하는 위협 행위자들이 정보 수집을 위해 2024년 올림픽을 목표로 삼을 가능성이 크다.
2. 방해 및 파괴
대규모 스포츠 행사인 올림픽은 작은 차질도 큰 문제로 비칠 수 있어 방해 및 파괴 활동을 펼치는 데 있어 이상적인 무대라 할 수 있다. 이를 노려 웹 사이트 변조, 분산 서비스 거부(DDoS) 공격, 와이퍼(Wiper) 악성코드 배포, OT 환경 공격 등 올림픽 행사를 방해하고 평판을 훼손하려는 활동이 있을 수 있다.
3. 정보 작전
올림픽에 대한 대중의 관심을 이용해 특정 주장이나 허위 정보를 원하는 대상에게 퍼뜨릴 수 있다. 일부 악의적인 위협 행위자들은 파괴적인 공격과 결합하여 특정 정보를 확산하려 할 수도 있다.
4. 금전적 동기
돈을 목적으로 하는 위협 행위자들은 다양한 방법으로 올림픽에서 기회를 잡으려 할 것으로 보인다. 티켓 사기, 개인정보(PII) 탈취, 주요 기관을 상대로 한 갈취 행위 등을 예상할 수 있다. 또한, 올림픽 자체를 표적으로 삼지는 않지만, 올림픽을 미끼로 사용하는 사회공학적 공격이 발생할 수도 있다.
올림픽과 관련된 사이버 작전은 다양한 기업이나 단체에 영향을 미칠 수 있다. 가령 올림픽 후원 기업은 행사 기간에 국가가 지원하는 공격 그룹의 목표가 될 수 있다. 평소 흔히 보던 사이버 공격이 올림픽 기간에 관련 기업과 기관을 대상으로 더 빈번하게 발생할 가능성이 크다.
▲올림픽 기간 동안 잠재적인 공격 목표가 될 수 있는 대상[자료=맨디언트]
5. 국가 지원 위협 활동
국가 지원 위협은 2024년 하계 올림픽에 가장 크고 심각한 위협을 제기한다. 맨디언트는 러시아가 이전 올림픽 경기를 지속해서 노려왔고, 현재 유럽과 긴장 관계에 있는 것과 최근 프랑스를 대상으로 한 친러시아 정보작전 수행을 감안할 때 심각한 위협을 가할 것으로 보고 있다. 중국, 이란, 북한 등 다른 국가 지원 위협 행위자들도 활동하겠지만 러시아가 배후에 있는 집단에 비하면 그 정도가 덜할 것으로 보인다.
①러시아
러시아가 지원하는 공격 그룹은 2024년 파리 올림픽에 가장 큰 사이버 위협이 될 것으로 평가된다. 이전 올림픽 대회에서도 러시아가 후원하는 공격 그룹은 정보 수집 외에도 대회에 영향을 끼치는 파괴적인 공격과 대중을 선동하는 작전을 펼치는 등 악의적인 행위를 한 전력이 있다. 맨디언트는 러시아 스파이 기관이 이전 올림픽 대회에서 사이버 공격을 감행해 대회 운영을 방해하고 관련 기관의 안전과 보안을 위협했던 사례를 확인했다. 2022년 2월 우크라이나 전쟁 이후 프랑스가 우크라이나를 재정 및 군사적으로 지원한 것을 고려할 때 프랑스는 러시아의 사이버 위협에 직면할 가능성이 커 보인다.
올해 러시아 선수들은 자국을 대표해서 참가할 수 없고, 개회식에 참여할 수도 없으며, 오로지 중립국 선수 자격으로만 경기에 참여할 수 있다. 러시아는 선수들이 자국 국기를 달고 참가하지 못하는 것에 불만을 품고 있으며, 이는 다른 국가들에 비해 러시아가 사이버 위협을 가할 가능성을 더 높게 평가하는 요인 중 하나다.
이전 올림픽 경기를 노린 공격을 감안할 때 맨디언트는 현재 추적하고 있는 러시아 위협 행위자 중 APT44가 2024년 프랑스 하계 올림픽을 노릴 가능성이 높다. 이들은 정보 수집 외에도 대회 진행을 방해하는 파괴적인 공격, 혼란을 야기하는 공격, 선동 작전과 연계된 하이브리드 작전을 수행할 가능성이 높다.
▲과거 올림픽 경기를 목표로 한 주요 러시아의 작전[자료=맨디언트]
2018년 평창 동계 올림픽 전, APT44의 안드로이드 악성코드 공격 사례
2017년 말부터 APT44라는 공격 그룹은 대한민국 평창 동계올림픽 관련 기관을 노린 대규모 공격을 감행했다. 당시 APT44는 사용자 인증 정보 탈취를 위한 피싱 이메일을 발송하는 공격과 윈도우, 맥OS, 안드로이드 기기를 대상으로 악성코드를 유포했다. 이중 안드로이드 기기를 목표로 삼은 공격은 교묘한 방법을 사용했다.
공격자는 한국 사용자들이 사용하는 합법적인 안드로이드 앱을 복사했다. 그리고 복사한 앱에 자체 개발한 악성코드를 심은 다음 이를 구글 플레이 스토어(Google Play Store)에 올렸다. 삽입한 악성코드 이름은 CHEMISTGAMES였는데, 모바일 기기에 최적화한 이 악성코드는 필요한 기능만 추가해 데이터를 대량으로 수집하도록 모듈 방식으로 설계됐다. 이런 특징으로 공격자는 악성 기능을 숨기고 목표로 삼은 기기에서 코드를 실행할 수 있었다. 이 외에도 악성코드는 복잡한 명령을 간단하게 실행하기 위해 자동화 기능이 구현됐다.
▲2018년 평창 동계 올림픽 전, APT44의 안드로이드 악성코드 공격 사례[자료=맨디언트]
구글의 위협분석 그룹(TAG)은 2018년 평창 동계올림픽을 겨냥한 악성코드를 발견했다. 이후 구글은 사용자 기기 보호와 악성코드 차단을 위해 시그니처를 만들어 해당 악성코드가 담긴 앱을 올린 구글 플레이 스토어 개발자 계정을 차단했다. 이러한 조치는 다른 APT44 공격에도 효과적이었다. 위장한 웹 메일 앱으로 우크라이나 사용자를 공격하려는 시도와 러시아 기업을 겨냥한 국내 공격 등에서 CHEMISTGAMES 악성코드 감염을 막는 데 성공했다.
맨디언트는 “과거 올림픽을 공격한 적은 없지만 UNC4057(COLDRIVER) 공격 그룹도 잠재적인 위협으로 보고 있다”며 “이 공격 그룹은 러시아 정부를 지원하며 사이버 스파이 활동과 정보 조작 작전을 수행한다”고 분석했다.
개인정보(PII) 수집을 위한 인증 정보 공격을 통해 러시아가 진행하는 국가 차원의 정보 수집 목표를 지원한다. 이외에도 2022년에는 영국을 혼란에 빠뜨리기 위한 해킹과 정보 유출 작전을 감행했다. 이런 공격 패턴으로 볼 때 UNC4057 공격 그룹은 프랑스 올림픽 관련 기관이나 NATO 회원국 고위 인사들을 공격할 우려가 있다.
②중국
맨디언트는 중국이 지원하는 공격 그룹들이 2024년 파리 올림픽에서 보통 수준의 위협을 가할 것이라 평가한다. 예전에 유럽 정부기관, 시민사회와 비영리단체를 공격한 적이 있는 APT31, APT15, UNC4713, TEMP.Hex가 올림픽 관련 기간과 개인을 노릴 가능성이 있다. 올림픽에 참가하는 정부 고위인사들은 개인정보, 인증 정보 및 기타 중요 정보를 탈취해 중국의 이익을 도모하려는 공격 그룹의 주요 타깃이 될 수 있다. 이와 관련해 스피어 피싱, 인증 정보 탈취, 정보 수집 공격 위험성이 높아질 것으로 보인다. 한편, 중국 스파이 기관은 과거 OT 환경을 공격하는 데 의지를 보여 왔지만, 이번 하계 올림픽에서는 OT 환경을 목표로 삼을 가능성이 작다.
③이란
맨디언트는 이란이 지원하는 공격 그룹, 특히 APT42가 2024년 파리 올림픽에서 보통에서 낮은 수준의 위협을 가할 것으로 평가했다. 이란 공격자들은 과거 유럽 전역의 시민사회, 비영리 단체, 정부기관을 공격한 적이 있다. 따라서 올림픽 자체를 이용하거나 특정 국가의 참가자를 직접 겨냥하는 표적 공격을 감행할 수 있다. 특히 가자지구 분쟁 상황이 이란의 정보 수집과 정보 조작 활동 빈도에 영향을 끼치고 있다는 점도 고려해야 한다. 이와 관련해 이란은 이스라엘을 겨냥한 공격을 늘릴 가능성이 있다.
④북한
맨디언트는 북한의 공격자들이 2024년 파리 올림픽에서 낮은 수준의 위협을 가할 것으로 평가한다. APT43 공격 그룹은 올림픽과 관련된 정보를 미끼로 재정적 이익을 목표로 하는 악성코드를 유포하거나 사회공학적 기법의 일환으로 올림픽을 활용해 공격 목표와 신뢰 관계를 구축할 수 있다.
올림픽과 사이버 위협
①해킹 활동과 정보 조작
올림픽은 전 세계 축제다. 이런 특징으로 해킹 활동과 정보 조작의 주요 타깃이 될 수 있다. 위협 행위자들은 올림픽에 몰린 관심을 기회로 주목받는 작전을 수행할 수 있다. 핵티비스트들은 자원과 능력이 제한적일 수 있다. 그러나 시기를 잘 노리면 그들의 목표를 달성할 수 있다.
친 러시아 정보 작전이 올림픽을 주제로 하는 컨텐츠를 가장 많이 사용할 것으로 보이지만, 중국과 벨라루스의 이익을 대변하는 캠페인도 올림픽에 대한 관심을 이용해 이야기를 전파할 수 있다. 핵티비스트와 정보 작전 행위자들은 전술, 기술, 절차(PPT)를 공유하는데, 이번 올림픽 관련 활동을 위해 새로운 페르소나를 만들 수도 있다.
②러시아
맨디언트는 친 러시아 정보 작전이 2024년 하계 올림픽에 중간 정보의 심각한 위협을 제기할 것으로 전망했다. 올림픽의 인기를 이용해 친러시아, 반우크라이나, 반서방 이야기를 전파하는 정보 작전을 관찰했다. 또한, 프랑스의 친우크라이나 노선과 러시아의 올림픽 참가 금지에 대한 정치 보복으로 러시아의 이익을 홍보는 정보 활동이 활발히 진행될 수 있다.
2024년 2월 프랑스 외무부는 러시아가 다가오는 총선과 올림픽을 방해하기 위해 광범위한 허위 정보 확산 캠페인을 수행했다고 비난했다. 이는 2022년 2월 러시아의 우크라이나 침공 이후 프랑스의 지원에 대한 보복으로 보인다.
2024년 4월 올림픽 수영 경기장 개장식에서 에마뉘엘 마크롱 프랑스 대통령은 러시아가 다가오는 올림픽의 안전과 보안을 저해하는 온라인 허위 정보 캠페인을 벌이고 있다고 비난했다. 추적 중인 캠페인에서 독립적으로 관찰한 친러시아 활동이 이러한 주장과 일치하는 것으로 보인다.
여러 친러시아 핵티비스트 그룹은 유럽 전역의 기관들을 타깃으로 삼았으며, 하계 올림픽에 실질적인 위협을 가했다. 여기에는 Anonymous Sudan, Cyber Army of Russia Reborn, NoName057(16), UserSec, Server Killers 등이 포함된다. 친 러시아 핵티비스트들의 위협은 특히 높다고 판단되고 있는데, 그룹 중 다수가 러시아 국가 지원 침입 활동에서 발생한 파괴적 공격이나 데이터 유출 행위를 공개했기 때문이다. 몇몇 그룹은 DDoS 공격으로 주목받는 타깃을 방해할 수 있는 능력을 입증했다.
③사례 연구: Doppelganger
맨디언트는 여러 플랫폼에서 가짜 도메인과 소셜 미디어 계정 네트워크를 관찰했으며, 이를 ‘Doppelganger’라고 불리는 친러시아 정보 작전 캠페인과 연결지었다. 이러한 도메인들은 영어, 독일어, 프랑스어, 이탈리아어로 정치적 콘텐츠를 홍보하며, 러시아의 전략적 이익과 일치하는 이야기를 퍼뜨렸다. 여기에는 러시아의 우크라이나 침공 관련 내용도 포함된다.
Doppelgange 도메인에서 2024년 파리 올림픽을 겨냥한 일부 이야기가 홍보되는 것이 관찰됐다. 여기에는 프랑스가 개최국으로서 준비가 부족하다는 암시를 담은 기사와 프랑스 정부가 게임 관련 보안 위험, 특히 이슬람 극단주의와 관련된 위험에 충분히 대비하지 못했다는 의도로 작성된 기사들이 포함되어 있다.
2024년 3월, 미국 재무부는 유럽 정부기관과 언론 매체로 위장해 유럽 관객에게 친러시아 가짜 이야기를 배포한 러시아 정보 작전 캠페인과 관련된 2명의 개인과 2개의 조직에 대한 제재를 발표했다. 이러한 활동은 Doppelgange 캠페인이 사용하는 위협 활동과 일치한다.
▲Doppelganger 관련 도메인에서 발행한 올림픽 관련 기사 예시[자료=맨디언트]
④중국
중국의 정보 작전은 올림픽 테마의 이야기를 활용해 친중국 및 반서방 이념을 홍보할 가능성이 크다. 친중국 정보 작전 캠페인이 중국 수영팀의 도핑 스캔들을 이용해 반중국 또는 친서방 편향을 강조하는 작전의 일환으로 사용할 것으로 예상되고 있으며, 과거 올림픽에서도 친중국 캠페인 사례가 있다.
롤링스톤(Rolling Stone)은 “‘New Europe Obervation’이라는 유럽 뉴스 매체로 가장해 이민 문제와 2022년 베이징 올림픽 보이콧 같은 논란의 여지가 있는 주제를 사용해 유럽이 불화를 조성하려는 중국과 연관된 작전을 강조했다”며 “이 작전은 시위자를 고용해 오프라인 시위에 참여시키려 했으며 영어, 러시아어 및 다른 언어의 원어민을 고용했다”고 밝혔다.
2021년 말과 2022년 초, 맨디언트 인텔리전스는 ‘드래곤브릿지(DRAGONBRIDGE)’라고 부르는 친중국 정보 작전 캠페인의 일부로 판단되는 소셜 미디어 계정을 확인했으며, 이 계정들은 미국의 2022년 베이징 동계 올림픽 보이콧 결정을 비판했다.
PubPublica는 친중국 정보 작전이 봇을 활용해 2022년 베이징 동계 올림픽을 둘러싼 허위 이야기를 홍보한 방법을 강조했다.
⑤벨라루스
2021년 12월에는 UNC1151과 Ghostwriter 활동이 확인됐다. 이들은 리투아니아가 2022년 베이징 동계 올림픽을 보이콧할 것이라는 이야기를 홍보했다. 리투아니아는 Ghostwriter 작전의 빈번한 타깃이며, 이는 시의적절한 사건을 활용해 내부 불안을 초래하려는 시도로 보인다.
⑥금전적 동기의 위협 활동
재정적 이익을 목표로 하는 공격자들이 2024년 파리 올림픽에 보통 수준의 위협에 대한 우려도 커지고 있다. 올림픽 기간은 많은 양의 금융 거래가 발생하므로 최소한의 노력으로 이익을 얻으려는 악의적인 공격자들에게 매력적이기 때문이다. 특정 시기를 노리는 기회주의적인 위협은 다음과 같다.
랜섬웨어 및 갈취 작전
랜섬웨어 및 갈취 작전은 주요 이벤트를 주최하는 조직을 타깃팅하는 경향이 있다. 지난해 데이터 유출 사이트에 게시된 목록에 따르면, 프랑스는 랜섬웨어 및 데이터 도난 갈취 활동으로 가장 큰 영향을 받은 국가 중 다섯 번째에 이름을 올렸다. 프랑스 조직의 목록이 LOCKBIT, 8BASE(일명 PHOBOS), NOESCAPE, MEDUSA, ALPHV 사이트에 자주 게시되는 것이 관찰됐다. 또한, 역사적으로 프랑스에서 활발하지 않았던 사이버 범죄 그룹들이 올림픽과 관련된 기관을 목표로 하는 활동을 증가시킬 가능성도 있다.
티켓 사기
가짜 티켓 판매 사이트를 운영하는 티켓 사기는 주요 스포츠 행사에 대한 관심을 악용한다. 올림픽의 인기, 티켓 수요 증가, 제3자 티켓 판매 플랫폼의 거래량 증가는 공격자들에게 매력적으로 다가온다.
미끼 자료
대중의 관심을 악용하는 미끼 소재를 활용하는 것은 초기 공격 단계에 활용되는데, 올림픽은 유혹의 소재로 활용할 가능성이 높다. 공격자들은 미끼를 통해 사용자가 의심하지 않고 악성코드를 받게 한다.
7. 위험 완화
조직은 파리 올림픽과 관련된 사이버 위협의 위험을 줄이기 위해 적극적인 조처를 해야 한다. 올림픽 관련 조직은 직면할 수 있는 새로운 사이버 위협이 무엇인지 파악하고 위협 프로필을 업데이트해야 한다. 해당 위협 행위자에 대한 위협 인텔리전스 정보를 탐지 시스템에 반영하고, 사전 예방적 보안 관리 방식을 도입하고, 네트워크 내 위협 탐지를 수행하는 등의 작업을 해야 한다. 이와 관련해 △Proactive Preparation and Hardening to Protect Against Destructive Attacks △Linux Endpoint Hardening to Protect Against Malware and Destructive Attacks △Distributed Denial of Service (DDoS) Protection Recommendations 가이드를 검토해 인프라, 인증, 엔드포인트를 강화해야 한다.
▲여행자를 위한 완화 방안[자료=맨디언트]
올림픽 개최 이전과 행사 기간 중 발생할 수 있는 올림픽 관련 사회공학적 미끼를 활용한 공격의 위험성을 알리는 사용자 교육도 실시해야 한다.
올림픽에 참가하는 선수와 관람을 위해 프랑스를 방문하는 개인과 단체는 공공 와이파이 사용의 위험, 올림픽 관련 이벤트 사기, 정부 관계자 등 VIP를 타깃으로 하는 공격 등 현지에서 마주할 수 있는 사이버 위험이 무엇인지 인지해야 한다.
올림픽과 관련된 정보 작전으로 인해 발생할 수 있는 브랜드 이미지 실추 위험을 인식하고 위험을 완화하기 위한 전략을 수립해야 한다 .
[김경애 기자(boan3@boannews.com)]
시스템 마비, 데이터 파괴 공격, 특정 이념 주장 위한 핵티비즘, 허위정보 유포, 여론 조작 등
올림픽 조직위원회와 스폰서, 티켓 시스템, 파리 사회기반시설, 참가선수 등에 영향 미칠 수 있어
[보안뉴스 김경애 기자] 오는 7월부터 8월까지 프랑스 파리에서 열리는 하계 올림픽을 겨냥한 다양한 사이버 위협이 예고되고 있다. 특히 사이버 스파이, 정보 작전, 금전 목적 공격 등 올림픽 기간에 관련 기업과 기관을 대상으로 사이버 공격이 더 빈번하게 발생할 가능성이 크다는 우려가 제기되고 있다.
▲2024년 하계 올림픽을 노리는 잠재적인 위협[자료=맨디언트]
맨디언트는 “파리 올림픽이 기밀 정보를 노리는 사이버 스파이 활동, 시스템을 마비시키거나 데이터를 파괴하는 공격, 금전적인 이익을 노리는 공격, 특정 이념을 주장하기 위한 핵티비즘 활동, 허위 정보를 유포해 여론을 조작하는 정보 작전(Information Operation) 등 수준 높은 사이버 위협에 직면한 것으로 평가되고 있다”며 “사이버 위협은 올림픽 조직위원회와 스폰서, 티켓 시스템, 파리의 사회기반시설, 올림픽 참가 선수와 관객 등 다양한 대상에 영향을 미칠 수 있다”고 우려했다.
이어 맨디언트는 “올림픽 관련 기관은 최신 사이버 위협 정보를 참조해 위협 프로필을 업데이트해야 한다”며 “직원들을 대상으로 보안인식 교육을 실시해 사이버 위협에 대한 경계심을 높이고, 프랑스를 방문하는 다른 국가의 선수와 관중을 위한 여행 관련 사이버 위협 관리 방안도 마련해야 한다”고 당부했다.
1. 사이버 스파이
올림픽에는 주요 국가의 정부 관계자와 고위 결정권자들이 참석한다. 이런 이유로 사이버 스파이 활동을 하는 위협 행위자들이 정보 수집을 위해 2024년 올림픽을 목표로 삼을 가능성이 크다.
2. 방해 및 파괴
대규모 스포츠 행사인 올림픽은 작은 차질도 큰 문제로 비칠 수 있어 방해 및 파괴 활동을 펼치는 데 있어 이상적인 무대라 할 수 있다. 이를 노려 웹 사이트 변조, 분산 서비스 거부(DDoS) 공격, 와이퍼(Wiper) 악성코드 배포, OT 환경 공격 등 올림픽 행사를 방해하고 평판을 훼손하려는 활동이 있을 수 있다.
3. 정보 작전
올림픽에 대한 대중의 관심을 이용해 특정 주장이나 허위 정보를 원하는 대상에게 퍼뜨릴 수 있다. 일부 악의적인 위협 행위자들은 파괴적인 공격과 결합하여 특정 정보를 확산하려 할 수도 있다.
4. 금전적 동기
돈을 목적으로 하는 위협 행위자들은 다양한 방법으로 올림픽에서 기회를 잡으려 할 것으로 보인다. 티켓 사기, 개인정보(PII) 탈취, 주요 기관을 상대로 한 갈취 행위 등을 예상할 수 있다. 또한, 올림픽 자체를 표적으로 삼지는 않지만, 올림픽을 미끼로 사용하는 사회공학적 공격이 발생할 수도 있다.
올림픽과 관련된 사이버 작전은 다양한 기업이나 단체에 영향을 미칠 수 있다. 가령 올림픽 후원 기업은 행사 기간에 국가가 지원하는 공격 그룹의 목표가 될 수 있다. 평소 흔히 보던 사이버 공격이 올림픽 기간에 관련 기업과 기관을 대상으로 더 빈번하게 발생할 가능성이 크다.
▲올림픽 기간 동안 잠재적인 공격 목표가 될 수 있는 대상[자료=맨디언트]
5. 국가 지원 위협 활동
국가 지원 위협은 2024년 하계 올림픽에 가장 크고 심각한 위협을 제기한다. 맨디언트는 러시아가 이전 올림픽 경기를 지속해서 노려왔고, 현재 유럽과 긴장 관계에 있는 것과 최근 프랑스를 대상으로 한 친러시아 정보작전 수행을 감안할 때 심각한 위협을 가할 것으로 보고 있다. 중국, 이란, 북한 등 다른 국가 지원 위협 행위자들도 활동하겠지만 러시아가 배후에 있는 집단에 비하면 그 정도가 덜할 것으로 보인다.
①러시아
러시아가 지원하는 공격 그룹은 2024년 파리 올림픽에 가장 큰 사이버 위협이 될 것으로 평가된다. 이전 올림픽 대회에서도 러시아가 후원하는 공격 그룹은 정보 수집 외에도 대회에 영향을 끼치는 파괴적인 공격과 대중을 선동하는 작전을 펼치는 등 악의적인 행위를 한 전력이 있다. 맨디언트는 러시아 스파이 기관이 이전 올림픽 대회에서 사이버 공격을 감행해 대회 운영을 방해하고 관련 기관의 안전과 보안을 위협했던 사례를 확인했다. 2022년 2월 우크라이나 전쟁 이후 프랑스가 우크라이나를 재정 및 군사적으로 지원한 것을 고려할 때 프랑스는 러시아의 사이버 위협에 직면할 가능성이 커 보인다.
올해 러시아 선수들은 자국을 대표해서 참가할 수 없고, 개회식에 참여할 수도 없으며, 오로지 중립국 선수 자격으로만 경기에 참여할 수 있다. 러시아는 선수들이 자국 국기를 달고 참가하지 못하는 것에 불만을 품고 있으며, 이는 다른 국가들에 비해 러시아가 사이버 위협을 가할 가능성을 더 높게 평가하는 요인 중 하나다.
이전 올림픽 경기를 노린 공격을 감안할 때 맨디언트는 현재 추적하고 있는 러시아 위협 행위자 중 APT44가 2024년 프랑스 하계 올림픽을 노릴 가능성이 높다. 이들은 정보 수집 외에도 대회 진행을 방해하는 파괴적인 공격, 혼란을 야기하는 공격, 선동 작전과 연계된 하이브리드 작전을 수행할 가능성이 높다.
▲과거 올림픽 경기를 목표로 한 주요 러시아의 작전[자료=맨디언트]
2018년 평창 동계 올림픽 전, APT44의 안드로이드 악성코드 공격 사례
2017년 말부터 APT44라는 공격 그룹은 대한민국 평창 동계올림픽 관련 기관을 노린 대규모 공격을 감행했다. 당시 APT44는 사용자 인증 정보 탈취를 위한 피싱 이메일을 발송하는 공격과 윈도우, 맥OS, 안드로이드 기기를 대상으로 악성코드를 유포했다. 이중 안드로이드 기기를 목표로 삼은 공격은 교묘한 방법을 사용했다.
공격자는 한국 사용자들이 사용하는 합법적인 안드로이드 앱을 복사했다. 그리고 복사한 앱에 자체 개발한 악성코드를 심은 다음 이를 구글 플레이 스토어(Google Play Store)에 올렸다. 삽입한 악성코드 이름은 CHEMISTGAMES였는데, 모바일 기기에 최적화한 이 악성코드는 필요한 기능만 추가해 데이터를 대량으로 수집하도록 모듈 방식으로 설계됐다. 이런 특징으로 공격자는 악성 기능을 숨기고 목표로 삼은 기기에서 코드를 실행할 수 있었다. 이 외에도 악성코드는 복잡한 명령을 간단하게 실행하기 위해 자동화 기능이 구현됐다.
▲2018년 평창 동계 올림픽 전, APT44의 안드로이드 악성코드 공격 사례[자료=맨디언트]
구글의 위협분석 그룹(TAG)은 2018년 평창 동계올림픽을 겨냥한 악성코드를 발견했다. 이후 구글은 사용자 기기 보호와 악성코드 차단을 위해 시그니처를 만들어 해당 악성코드가 담긴 앱을 올린 구글 플레이 스토어 개발자 계정을 차단했다. 이러한 조치는 다른 APT44 공격에도 효과적이었다. 위장한 웹 메일 앱으로 우크라이나 사용자를 공격하려는 시도와 러시아 기업을 겨냥한 국내 공격 등에서 CHEMISTGAMES 악성코드 감염을 막는 데 성공했다.
맨디언트는 “과거 올림픽을 공격한 적은 없지만 UNC4057(COLDRIVER) 공격 그룹도 잠재적인 위협으로 보고 있다”며 “이 공격 그룹은 러시아 정부를 지원하며 사이버 스파이 활동과 정보 조작 작전을 수행한다”고 분석했다.
개인정보(PII) 수집을 위한 인증 정보 공격을 통해 러시아가 진행하는 국가 차원의 정보 수집 목표를 지원한다. 이외에도 2022년에는 영국을 혼란에 빠뜨리기 위한 해킹과 정보 유출 작전을 감행했다. 이런 공격 패턴으로 볼 때 UNC4057 공격 그룹은 프랑스 올림픽 관련 기관이나 NATO 회원국 고위 인사들을 공격할 우려가 있다.
②중국
맨디언트는 중국이 지원하는 공격 그룹들이 2024년 파리 올림픽에서 보통 수준의 위협을 가할 것이라 평가한다. 예전에 유럽 정부기관, 시민사회와 비영리단체를 공격한 적이 있는 APT31, APT15, UNC4713, TEMP.Hex가 올림픽 관련 기간과 개인을 노릴 가능성이 있다. 올림픽에 참가하는 정부 고위인사들은 개인정보, 인증 정보 및 기타 중요 정보를 탈취해 중국의 이익을 도모하려는 공격 그룹의 주요 타깃이 될 수 있다. 이와 관련해 스피어 피싱, 인증 정보 탈취, 정보 수집 공격 위험성이 높아질 것으로 보인다. 한편, 중국 스파이 기관은 과거 OT 환경을 공격하는 데 의지를 보여 왔지만, 이번 하계 올림픽에서는 OT 환경을 목표로 삼을 가능성이 작다.
③이란
맨디언트는 이란이 지원하는 공격 그룹, 특히 APT42가 2024년 파리 올림픽에서 보통에서 낮은 수준의 위협을 가할 것으로 평가했다. 이란 공격자들은 과거 유럽 전역의 시민사회, 비영리 단체, 정부기관을 공격한 적이 있다. 따라서 올림픽 자체를 이용하거나 특정 국가의 참가자를 직접 겨냥하는 표적 공격을 감행할 수 있다. 특히 가자지구 분쟁 상황이 이란의 정보 수집과 정보 조작 활동 빈도에 영향을 끼치고 있다는 점도 고려해야 한다. 이와 관련해 이란은 이스라엘을 겨냥한 공격을 늘릴 가능성이 있다.
④북한
맨디언트는 북한의 공격자들이 2024년 파리 올림픽에서 낮은 수준의 위협을 가할 것으로 평가한다. APT43 공격 그룹은 올림픽과 관련된 정보를 미끼로 재정적 이익을 목표로 하는 악성코드를 유포하거나 사회공학적 기법의 일환으로 올림픽을 활용해 공격 목표와 신뢰 관계를 구축할 수 있다.
올림픽과 사이버 위협
①해킹 활동과 정보 조작
올림픽은 전 세계 축제다. 이런 특징으로 해킹 활동과 정보 조작의 주요 타깃이 될 수 있다. 위협 행위자들은 올림픽에 몰린 관심을 기회로 주목받는 작전을 수행할 수 있다. 핵티비스트들은 자원과 능력이 제한적일 수 있다. 그러나 시기를 잘 노리면 그들의 목표를 달성할 수 있다.
친 러시아 정보 작전이 올림픽을 주제로 하는 컨텐츠를 가장 많이 사용할 것으로 보이지만, 중국과 벨라루스의 이익을 대변하는 캠페인도 올림픽에 대한 관심을 이용해 이야기를 전파할 수 있다. 핵티비스트와 정보 작전 행위자들은 전술, 기술, 절차(PPT)를 공유하는데, 이번 올림픽 관련 활동을 위해 새로운 페르소나를 만들 수도 있다.
②러시아
맨디언트는 친 러시아 정보 작전이 2024년 하계 올림픽에 중간 정보의 심각한 위협을 제기할 것으로 전망했다. 올림픽의 인기를 이용해 친러시아, 반우크라이나, 반서방 이야기를 전파하는 정보 작전을 관찰했다. 또한, 프랑스의 친우크라이나 노선과 러시아의 올림픽 참가 금지에 대한 정치 보복으로 러시아의 이익을 홍보는 정보 활동이 활발히 진행될 수 있다.
2024년 2월 프랑스 외무부는 러시아가 다가오는 총선과 올림픽을 방해하기 위해 광범위한 허위 정보 확산 캠페인을 수행했다고 비난했다. 이는 2022년 2월 러시아의 우크라이나 침공 이후 프랑스의 지원에 대한 보복으로 보인다.
2024년 4월 올림픽 수영 경기장 개장식에서 에마뉘엘 마크롱 프랑스 대통령은 러시아가 다가오는 올림픽의 안전과 보안을 저해하는 온라인 허위 정보 캠페인을 벌이고 있다고 비난했다. 추적 중인 캠페인에서 독립적으로 관찰한 친러시아 활동이 이러한 주장과 일치하는 것으로 보인다.
여러 친러시아 핵티비스트 그룹은 유럽 전역의 기관들을 타깃으로 삼았으며, 하계 올림픽에 실질적인 위협을 가했다. 여기에는 Anonymous Sudan, Cyber Army of Russia Reborn, NoName057(16), UserSec, Server Killers 등이 포함된다. 친 러시아 핵티비스트들의 위협은 특히 높다고 판단되고 있는데, 그룹 중 다수가 러시아 국가 지원 침입 활동에서 발생한 파괴적 공격이나 데이터 유출 행위를 공개했기 때문이다. 몇몇 그룹은 DDoS 공격으로 주목받는 타깃을 방해할 수 있는 능력을 입증했다.
③사례 연구: Doppelganger
맨디언트는 여러 플랫폼에서 가짜 도메인과 소셜 미디어 계정 네트워크를 관찰했으며, 이를 ‘Doppelganger’라고 불리는 친러시아 정보 작전 캠페인과 연결지었다. 이러한 도메인들은 영어, 독일어, 프랑스어, 이탈리아어로 정치적 콘텐츠를 홍보하며, 러시아의 전략적 이익과 일치하는 이야기를 퍼뜨렸다. 여기에는 러시아의 우크라이나 침공 관련 내용도 포함된다.
Doppelgange 도메인에서 2024년 파리 올림픽을 겨냥한 일부 이야기가 홍보되는 것이 관찰됐다. 여기에는 프랑스가 개최국으로서 준비가 부족하다는 암시를 담은 기사와 프랑스 정부가 게임 관련 보안 위험, 특히 이슬람 극단주의와 관련된 위험에 충분히 대비하지 못했다는 의도로 작성된 기사들이 포함되어 있다.
2024년 3월, 미국 재무부는 유럽 정부기관과 언론 매체로 위장해 유럽 관객에게 친러시아 가짜 이야기를 배포한 러시아 정보 작전 캠페인과 관련된 2명의 개인과 2개의 조직에 대한 제재를 발표했다. 이러한 활동은 Doppelgange 캠페인이 사용하는 위협 활동과 일치한다.
▲Doppelganger 관련 도메인에서 발행한 올림픽 관련 기사 예시[자료=맨디언트]
④중국
중국의 정보 작전은 올림픽 테마의 이야기를 활용해 친중국 및 반서방 이념을 홍보할 가능성이 크다. 친중국 정보 작전 캠페인이 중국 수영팀의 도핑 스캔들을 이용해 반중국 또는 친서방 편향을 강조하는 작전의 일환으로 사용할 것으로 예상되고 있으며, 과거 올림픽에서도 친중국 캠페인 사례가 있다.
롤링스톤(Rolling Stone)은 “‘New Europe Obervation’이라는 유럽 뉴스 매체로 가장해 이민 문제와 2022년 베이징 올림픽 보이콧 같은 논란의 여지가 있는 주제를 사용해 유럽이 불화를 조성하려는 중국과 연관된 작전을 강조했다”며 “이 작전은 시위자를 고용해 오프라인 시위에 참여시키려 했으며 영어, 러시아어 및 다른 언어의 원어민을 고용했다”고 밝혔다.
2021년 말과 2022년 초, 맨디언트 인텔리전스는 ‘드래곤브릿지(DRAGONBRIDGE)’라고 부르는 친중국 정보 작전 캠페인의 일부로 판단되는 소셜 미디어 계정을 확인했으며, 이 계정들은 미국의 2022년 베이징 동계 올림픽 보이콧 결정을 비판했다.
PubPublica는 친중국 정보 작전이 봇을 활용해 2022년 베이징 동계 올림픽을 둘러싼 허위 이야기를 홍보한 방법을 강조했다.
⑤벨라루스
2021년 12월에는 UNC1151과 Ghostwriter 활동이 확인됐다. 이들은 리투아니아가 2022년 베이징 동계 올림픽을 보이콧할 것이라는 이야기를 홍보했다. 리투아니아는 Ghostwriter 작전의 빈번한 타깃이며, 이는 시의적절한 사건을 활용해 내부 불안을 초래하려는 시도로 보인다.
⑥금전적 동기의 위협 활동
재정적 이익을 목표로 하는 공격자들이 2024년 파리 올림픽에 보통 수준의 위협에 대한 우려도 커지고 있다. 올림픽 기간은 많은 양의 금융 거래가 발생하므로 최소한의 노력으로 이익을 얻으려는 악의적인 공격자들에게 매력적이기 때문이다. 특정 시기를 노리는 기회주의적인 위협은 다음과 같다.
랜섬웨어 및 갈취 작전
랜섬웨어 및 갈취 작전은 주요 이벤트를 주최하는 조직을 타깃팅하는 경향이 있다. 지난해 데이터 유출 사이트에 게시된 목록에 따르면, 프랑스는 랜섬웨어 및 데이터 도난 갈취 활동으로 가장 큰 영향을 받은 국가 중 다섯 번째에 이름을 올렸다. 프랑스 조직의 목록이 LOCKBIT, 8BASE(일명 PHOBOS), NOESCAPE, MEDUSA, ALPHV 사이트에 자주 게시되는 것이 관찰됐다. 또한, 역사적으로 프랑스에서 활발하지 않았던 사이버 범죄 그룹들이 올림픽과 관련된 기관을 목표로 하는 활동을 증가시킬 가능성도 있다.
티켓 사기
가짜 티켓 판매 사이트를 운영하는 티켓 사기는 주요 스포츠 행사에 대한 관심을 악용한다. 올림픽의 인기, 티켓 수요 증가, 제3자 티켓 판매 플랫폼의 거래량 증가는 공격자들에게 매력적으로 다가온다.
미끼 자료
대중의 관심을 악용하는 미끼 소재를 활용하는 것은 초기 공격 단계에 활용되는데, 올림픽은 유혹의 소재로 활용할 가능성이 높다. 공격자들은 미끼를 통해 사용자가 의심하지 않고 악성코드를 받게 한다.
7. 위험 완화
조직은 파리 올림픽과 관련된 사이버 위협의 위험을 줄이기 위해 적극적인 조처를 해야 한다. 올림픽 관련 조직은 직면할 수 있는 새로운 사이버 위협이 무엇인지 파악하고 위협 프로필을 업데이트해야 한다. 해당 위협 행위자에 대한 위협 인텔리전스 정보를 탐지 시스템에 반영하고, 사전 예방적 보안 관리 방식을 도입하고, 네트워크 내 위협 탐지를 수행하는 등의 작업을 해야 한다. 이와 관련해 △Proactive Preparation and Hardening to Protect Against Destructive Attacks △Linux Endpoint Hardening to Protect Against Malware and Destructive Attacks △Distributed Denial of Service (DDoS) Protection Recommendations 가이드를 검토해 인프라, 인증, 엔드포인트를 강화해야 한다.
▲여행자를 위한 완화 방안[자료=맨디언트]
올림픽 개최 이전과 행사 기간 중 발생할 수 있는 올림픽 관련 사회공학적 미끼를 활용한 공격의 위험성을 알리는 사용자 교육도 실시해야 한다.
올림픽에 참가하는 선수와 관람을 위해 프랑스를 방문하는 개인과 단체는 공공 와이파이 사용의 위험, 올림픽 관련 이벤트 사기, 정부 관계자 등 VIP를 타깃으로 하는 공격 등 현지에서 마주할 수 있는 사이버 위험이 무엇인지 인지해야 한다.
올림픽과 관련된 정보 작전으로 인해 발생할 수 있는 브랜드 이미지 실추 위험을 인식하고 위험을 완화하기 위한 전략을 수립해야 한다 .
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
