240905.jpg)
지난 6월 세계적인 기업 AMD와 애플을 해킹했다고 주장하면서 데이터 샘플을 공개해 전 세계를 떠들썩하게 했던 악명 높은 해커 ‘인텔브로커(IntelBroker)’가 최근에는 우리나라 기관 및 기업들을 타깃으로 지속적인 해킹 공격을 감행해 화제의 중심에 다시금 서 있다.
[보안뉴스 문가용 기자] 최근 국내 사이트를 대상으로 한 다수의 해킹 사건에 전 세계적으로 악명 높은 해커 ‘인텔브로커’의 이름이 계속 언급되고 있다. 인텔브로커라는 닉네임으로 공공기관과 대기업, 중소기업을 막론하고 한국 사이트에 대한 무차별 공격이 감행되고 있기 때문이다.
[이미지= 브리치포럼즈 캡처]
악명 높은 해커 인텔브로커가 전 세계적으로 크게 화제가 된 건 지난 6월 세계 최대 규모 기업들이라고 할 수 있는 AMD와 애플에 대한 데이터 침해 공격 때문이었다. 그러다 최근 공공기관, 대기업, 중소기업을 막론하고 우리나라 사이트를 대상으로 한 무차별 공격이 이어지면서 다시금 인텔브로커라는 닉네임이 회자되고 있다. 그럼 인텔브로커는 도대체 누구이길래 세계 최고 기업들에 이어 우리나라까지 뒤흔들고 있는 것일까?
먼저 AMD가 해킹 공격을 당했던 지난 6월로 돌아가보자. 당시 AMD가 다크웹과 보안 매체들에 이름을 올리기 시작했다. 다크웹에 AMD의 데이터라고 하는 덤프가 올라왔기 때문이다. 인텔브로커가 AMD.com으로부터 훔친 데이터라고 주장하며 샘플을 업로드 한 것이었다. 아래에 설명을 하겠지만 인텔브로커는 굵직굵직한 기업이나 기관들에서 데이터를 훔쳐내 판매하는 것으로 유명한 해커 혹은 해킹 단체다. 여기에 시총 2,500억 달러의 기업이 당한 것이다.
인텔브로커는 다크웹 포럼에 데이터를 올리며 당시에 이렇게 썼다.
“오늘 내가 판매할 데이터는 AMD.com의 데이터 침해 사건에서 나온 것이다. AMD라는 대형 기업은 2024년 6월 데이터 침해 사고를 겪었다. 침해된 데이터는 미래 AMD 제품, 사양표, 임직원 데이터베이스, 고객 데이터베이스, 자산 관련 파일, ROM, 소스코드, 펌웨어, 금융 정보다.” 이에 AMD 측은 “사건에 대해 인지했고, 정말 침해 사고가 있었는지 알아보기 위해 조사하는 중”이라고 발표했다가 결국 침해 사실을 인정했다.
AMD에 이어 애플까지, 단 이틀 만에
여기에 더해 인텔브로커는 애플마저 침해했다고 주장했다. AMD의 정보를 공개한다고 했던 바로 다음 날이었다. 메시지는 비교적 간단했다. “애플에서 자주 사용하는 도구 세 개의 내부 소스코드를 발표한다”였다. 이 세 개 도구는 다음과 같다.
1) AppleConnect-SSO
2) AppleMacroPlugin
3) Apple-HWE-Confluence-Advanced
다만 어떤 식으로 이 도구의 소스코드에 손을 뻗칠 수 있었는지, 훔친 소스코드를 가지고 무엇을 할 수 있는지 등에 대한 상세 내용은 하나도 공개하지 안핬다.
따라서 이 세 가지 도구들이 어떤 목적으로 사용되는지는 아직까지 정확하게 알려지지 않았다. 다만 당시 일부 외신에 의하면 AppleConnect-SSO는 이름에서 알 수 있듯 싱글사인온과 관련된 도구로 보이며, 애플 내부에서 사용하는 일종의 로그인 및 아이덴티티 인증 도구일 것으로 추정했다. 애플 역시 어떤 발표도 하지 않았다.
[이미지= 브리치포럼즈 캡처]
세상을 뒤흔드는 인텔브로커, 누구인가?
인텔브로커가 워낙 이런 식의 사건을 자주 저지르기 때문에 모두가 정체를 궁금해 한다. 하지만 안타깝게도 인텔브로커가 어느 지역을 기반으로 활동하는지, 어떤 동기를 가지고 움직이는지, 누구와 협력 관계를 이루고 있는지, 심지어 개인인지 단체인지, 어느 것 하나 명확히 밝혀진 것이 없다. 사실은 APT 공격자들이고, 적국의 주요 기업과 기관들을 노리는 게 원래 목적인데 그러한 활동을 감추기 위해 만들어진 가짜 페르소나라는 주장도 있고, 단순 금전적 이득을 취하려는 공격 단체라는 설도 있다. 실력이 뛰어난 개인이라는 분석도 있고 잘 알려지지 않은 이란의 해킹 단체라는 말도 나온다.
그렇다면 인텔브로커에 대해 알려진 것은 무엇일까? 몇 가지 안 되지만 정리하자면 다음과 같다.
1) 영어를 모국어 수준으로 구사한다. 모국어일 가능성이 높다.
2) 엔듀어런스 랜섬웨어(Endurance ransomware)라는 이름으로 활동하는 때가 가끔 있다.
3) 2022년에 활동을 개시했으나 2023년 온라인 식료품 서비스인 위(Weee!)를 해킹해 이름을 떨치기 시작했다. 당시 1100만 고객의 정보가 유출됐다.
4) 유명 해킹 포럼인 브리치포럼즈(BreachForums)를 애용한다.
5) 인텔브로커는 브리치포럼즈에 이따금씩 같이 작업할 파트너를 구하는 글을 올린다. 대부분 C#을 다룰 줄 아는 사람을 뽑는다.
미국 국방부는 인텔브로커 혹은 엔듀어런스를 이란 정부와 밀접한 관계를 맺고 있는 자들로 파악하기도 했었다. 근거는 다음 두 가지였다.
1) 인텔브로커가 사용하는 도구들이 이란 해커들이 사용하는 도구들과 비슷하다.
2) 악명 높은 데이터 삭제 도구인 샤문4(Shamoon 4)를 가끔씩 사용하는데, 이 역시 이란 해커들이 자주 활용하는 전략이다,
물론 강력한 근거라고 할 수는 없었고, 인텔브로커는 스스로를 독립적으로 활동한다고 주장하며 국방부의 의견을 반박했다. 이 때 인텔브로커는 스스로에 대해 “세르비아에서 거주하는 개인”이라고 주장했다.
[이미지= gettyimagesbank]
이러한 사실들로 알 수 있는 건 거의 없다. 정말 세르비아인일 수도 있고 아닐 수도 있다. 세르비아에서 단순히 거주하는 것일수도 있고, 아닐 수도 있다. 정말 실력이 뛰어난 개인일 수도 있지만, 특정 해킹 단체에 속해 있다가 개인 활동을 하는 것일 수도 있다. 이란 APT 단체들이 사용했던 멀웨어를 어디선가 구해서 재활용하는 것일 수도 있고, 이란의 해커일 수도 있다. 이 때문에 인텔브로커에 대해 속시원히 말 할 수 있는 건 아직 거의 없다고 봐도 무방하다.
피해자들
인텔브로커의 움직임에는 패턴이 존재한다. 거의 항상 이런 식이다.
1) 브리치포럼즈에 데이터 샘플을 올린다.
2) 유명 기업이나 기관의 데이터라고 주장한다.
3) 데이터 구매를 원한다면 어느 정도의 값을 지불해야 한다고 제시한다.
4) 그리고는 한 동안 잠잠하다.
사실 이는 데이터를 훔치고 판매하는 많은 해킹 단체들이 보이는 패턴과 크게 다르지 않다. 다만 문제는 2)번이다. 유명한 기업들이나 기관들만 골라서 공격하는 것처럼, 인텔브로커가 한 번 데이터를 올리면 세상이 떠들썩해진다. 이번 AMD가 매우 전형적인 사례라고 할 수 있다. 그 외에도 볼보나 힐튼호텔 등이 인텔브로커에 당한 바 있다.
하지만 피해 사례가 누적되면서 인텔브로커가 선호하는 공격 대상이 있는 듯한 모습이 포착되고 있는 것도 사실이다. 현재까지 알려진 바에 따라 짐작되는 인텔브로커의 주력 공격 대상은 국방과 관련이 있는 단체들이다. 그것도 미국과 미국의 동맹국들의 국방 기업 및 시설들이 주요 피해자들이다. 인텔브로커는 미국 국토안보부에서 파일을 훔치고 고등연구계획국에서도 문건을 빼돌렸으며, 미군 대시보드(US Army Dashboard)로 접근하게 해 주는 대가로 돈을 받은 적도 있다. 최근에는 파이브아이즈(Five Eyes)라는 미국의 주요 동맹국들과 관련된 기밀 문서를 NSA로부터 확보해 판매하기도 했었다.
[이미지= gettyimagesbank]
어쩌면 국방이 아니라 ‘미국 조직’이 표적일 수도 있다. 왜냐하면 미국 교통부에서 580만 건의 비행 로그를 유출시키기도 했으며, LA 공항 시스템을 침해하고, 미국 시민권과 이민자 발급 서비스를 공략해왔기 때문이다. 미국 국회의원들이 이용하는 건강 포털과 보험 서비스들을 침해해 개인정보와 각종 민감 정보를 탈취하기도 했었다. 사회 기반 시설을 노리는 건데, 미국에 굉장히 집중되어 있다는 것을 알 수 있다. 사회적 혼란을 야기하고 체제에 대한 신뢰를 붕괴시키는 것도 주요 목적 중 하나인 것으로 의심되는 이유다.
실제로 사회 기반 시설에 대한 인텔브로커의 관심은 남다르게 조명 받아 마땅하다. 특히 IT와 통신망을 자주 공략하는데, 몇 가지 사례만 모아보면 다음과 같다.
1) HPE의 로그인 크리덴셜과 시스템 설정 파일 탈취
2) AT&T 고객 3700만 명의 개인정보 탈취
3) 2300만 건의 기록이 저장되어 있는 버라이즌의 데이터베이스
여기까지만 보면 이들의 동기가 APT 단체의 그것과 일치하는 것처럼 보인다. 그러나 인텔브로커를 APT 조직으로 규정하기에는 찜찜하다. 위에도 밝혔지만 그는 훔쳐낸 정보를 무료로 공개하는 게 아니라 판매하기 때문이다. 꽤나 긴 기간 판매자가 나타날 때까지 기다리기도 한다. 사회 인프라와 관련이 없는 민간 기업들도 곧잘 노리고, 여느 해커들처럼 은행들도 자주 공격한다. 현재까지 인텔브로커에 당한 기업이나 은행은 위, 판다바이(PandaBuy), 바클리(Barclays) 은행, HSBC 은행, 아코(Accor), 홈데포(Home Depot), 페이스북 마켓플레이스(Facebook Marketplace)이다.
사이버니거즈?
인텔브로커를 사이버니거즈(CyberNiggers)라는 악명 높은 해킹 집단의 주요 구성원으로 보는 시각도 존재한다. 이들은 이름에서도 알 수 있듯 기본적으로 ‘노골적인 인종차별주의’를 표방하고 있으며(Nigger는 흑인을 비하하는 용어이다), 브리치포럼즈에서도 큰 영향력을 발휘한다. 2023년 말, 제너럴일렉트릭(GE)의 데이터를 판매하면서 존재감을 나타내기 시작했으나, 아직 이들에 대해 알려진 바는 그리 많지 않다.
사이버니거즈에 대해 현재까지 알려진 사실은 다음과 같다.
1) 구성원이 많지 않으나 전부 브리치포럼즈의 회원들이다.
2) 미국의 사회 기반 시설을 주로 노린다.
3) 파이브아이즈 국가에서 이들을 감시하고 있다.
4) 금전적인 목적을 가지고 움직인다.
5) 미국, 유럽, 남아프리카, 인도에서 이들에 의한 피해가 보고된 적이 있다.
6) 무작위 대입 공격을 하거나 최초 접근 브로커를 활용한다.
7) 민감한 데이터 유출을 주로 한다.
인텔브로커가 사이버니거즈의 구성원이라고 주장하는 측에서는 ‘사이버니거즈의 피해자 = 인텔브로커의 피해자┖라는 견해를 가지고 있다. 심지어 매체들에 등장하는 인텔브로커 관련 사건이 사실은 사이버니거즈가 일으킨 사건으로 봐야 한다고도 말한다. 이와 관련해서는 의견이 분분한데, 둘이 친분은 있을 수 있지만 인텔브로커가 사이버니거즈의 소속이라고 확증할 만한 증거가 아직 없기 때문이다. 다만 피해자들과 활동 방향성에서 겹치는 부분이 존재하는 것은 사실이다.
사이버니거즈가 사이버니거즈의 이름으로 공개한 데이터 유출 사건의 피해자들은 인도 정부, 남아공 정부, 독일 클라우드 업체, 인도네시아 통신사 등이다. 그외 일부 구성원이 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사태에도 가담했다는 주장도 존재한다. 사이버니거즈와 인텔브로커가 공동으로 피해자의 정보를 게시한 경우도 적지 않다.
인텔브로커의 전략
인텔브로커라는 이름에서 ‘브로커’는 최근 다크웹에 많이 나타나는 공격자 유형인 ‘최초 접근 브로커(initial access broker, IAB)’를 연상케 한다. 실제로 인텔브로커는 원래 IAB 사업을 하던 인물 혹은 단체라는 게 보안 업계의 중론이다. 다른 해커들에게 최초 접근 서비스를 제공하다가 스스로 범죄 행위를 하기에 이르러 오늘 날의 사업 형태를 띄게 된 것으로 추정된다. 이런 식으로 시간이 지나면서 성질이 바뀌거나 공격 범위가 확장되는 사례는 흔하기 때문에 인텔브로커의 그것이 독특하거나 새로운 것은 아니다.
[이미지= gettyimagesbank]
다만 아직 랜섬웨어 사업으로까지 정식으로 확장한 것은 아닌 것으로 파악되고 있다. 가끔 엔듀어런스 랜섬웨어라는 이름으로 활동을 하기도 하는데, 전통적 의미의 랜섬웨어 공격을 실시한 적은 없다. 즉 피해자의 파일을 암호화하고, 이를 빌미로 돈을 뜯어내는 일은 하지 않는다는 것이다. 데이터를 빼돌리고 협박을 하는 것이 인텔브로커의 주된 전략이다. (사실 협박도 주된 전략이라고 하기 힘들다. 인텔브로커는 정보를 훔친 뒤 다크웹에 판매하는 걸 즐겨한다. 이 소식을 피해자가 듣고 협박이라고 느낄 수는 있다.)
엔듀어런스라는 이름이 활용되는 또 다른 곳은 깃허브다. 인텔브로커는 공공 리포지터리를 하나 깃허브에 가지고 있는데, 이 리포지터리의 이름이 엔듀어런스와이퍼(Endurance-wiper)이다. 이름 그대로 C#을 기반으로 하고 있는 와이퍼 도구가 이곳에 호스팅 되어 있다. 아직 인텔브로커가 데이터 삭제 공격을 했다는 기록은 존재하지 않는다. 실제로 데이터 삭제 공격을 하지 않았을 수도 있지만 아직까지 사례가 발견되거나 알려지지 않은 것일 수도 있다. 이 공공 리포지터리의 정확한 존재 이유에 대해서는 아직까지 정확히 밝혀진 바가 없다.
인텔브로커가 실제로 침해를 해서 데이터를 빼돌린 후 판매하는 것이라면, 인텔브로커는 어떻게 하는 걸까? 어떻게 하기에 그 유명하고 덩치 큰 조직들만 칠 수 있는 걸까? 현재까지 알려진 바에 의하면 인텔브로커는 거의 모든 경우 취약점을 익스플로잇 하는 방법으로 피해자의 시스템과 망에 침투한다. 그러나 다른 해킹 조직들과 달리 특별히 선호하는 취약점 한두 개를 집중 공략하는 건 아니다. 여러 가지 취약점을 활용할 줄 안다. 온프레미스에 설치되는 소프트웨어의 취약점, 웹 취약점, 서드파티 SaaS 취약점 등 죄다 이들의 먹잇감이 되어 왔다. 심지어 제로데이 취약점을 익스플로잇 하기도 했었다.
당연하지만 인텔브로커는 암호화폐로 거래한다. 그 중에서도 모네로를 특히 선호한다. 원래 사이버 공격자들이 가장 선호하던 암호화폐는 비트코인이었으나 익명성이라는 측면에서 모네로가 더 뛰어나다는 사실이 알려지면서 모네로로 많이들 옮겨갔다. 인텔브로커는 구매자들과 톡스(Tox) 메신저로 소통한다. 톡스는 시그널(Signal)과 유사한 종단간 암호화 통신 플랫폼이지만 사이버 범죄자들 사이에서 대단히 지명도가 높은 건 아니다.
인텔브로커에 대해 낱낱이 파악하고 있지 않지만 보안 업계는 마이터(MITRE)의 어택(ATT&CK) 프레임워크를 기준으로 인텔브로커의 전략을 다음과 같이 분류하고 있다.
1) T1485 - 데이터 파괴
2) T1190 - 공공 인터넷에 연결된 애플리케이션 익스플로잇
3) T1203 - 클라이언트에서의 실행 부분을 익스플로잇
4) T1041 - C2 채널을 통한 데이터 유출
5) T1083 - 파일과 디렉토리 탐색 및 발견
6) T1078 - 정상적인 계정 활용
7) T1005 - 로컬 시스템의 데이터
인텔브로커로부터 어떻게 스스로를 보호해야 하는가?
인텔브로커는 현대 보안 분야에 있어 상당히 까다로운 존재이다. 하지만 취약점 익스플로잇을 상당히 선호한다는 고정적인 패턴을 보이고 있기 때문에 취약점 관리가 가장 적절한 해결책이 될 수밖에 없다. 현대 보안에서의 ‘취약점 관리’는 단순히 패치를 적용하는 것보다 훨씬 더 능동적인 것으로 헌팅, 즉 사냥에 비유되기도 한다. 위협 사냥(threat hunting)이 바로 그것이다.
[이미지= gettyimagesbank]
위협 사냥은 보안 담당자가 자신의 네트워크와 시스템들을 주기적, 선제적으로 조사하여 위험 요소들을 찾아내 해결하는 것을 말한다. 위험 요소들은 이미 공개된 취약점들과 제로데이 취약점, 해커들이 몰래 들어와 심어두었을지 모르는 도구들이나 스캔의 흔적, 회사와 공유하지 않은 채 직원들이 사용하고 있는 비승인 애플리케이션이나 장비 등을 포함한다. 즉 위협 사냥은 보다 넓은 개념에서의 취약점 관리라고 볼 수 있다.
취약점 관리에 있어서 가장 중요한 건 취약점 우선순위를 결정하는 것이다. 패치해야 할 취약점이 한두 개가 아닌 상황이기 때문에 먼저 패치해야 할 것과 나중으로 미뤄둘 것을 정해야 한다. 취약점 점수인 CVSS를 참고하여 가장 점수가 높은 것부터 해결하는 것이 보편적이나, 최근에는 미국 CISA가 선정하는 KEV가 좀 더 선호되는 분위기다. KEV는 이미 공개된 취약점들 중 실제 익스플로잇이 되고 있는 것들을 모아둔 목록이다. CVSS 점수가 높지만 실제 익스플로잇 가능성 자체는 낮은 것들이 있다는 맹점을 보완하는 게 바로 이 KEV라고 할 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 최근 국내 사이트를 대상으로 한 다수의 해킹 사건에 전 세계적으로 악명 높은 해커 ‘인텔브로커’의 이름이 계속 언급되고 있다. 인텔브로커라는 닉네임으로 공공기관과 대기업, 중소기업을 막론하고 한국 사이트에 대한 무차별 공격이 감행되고 있기 때문이다.
[이미지= 브리치포럼즈 캡처]
악명 높은 해커 인텔브로커가 전 세계적으로 크게 화제가 된 건 지난 6월 세계 최대 규모 기업들이라고 할 수 있는 AMD와 애플에 대한 데이터 침해 공격 때문이었다. 그러다 최근 공공기관, 대기업, 중소기업을 막론하고 우리나라 사이트를 대상으로 한 무차별 공격이 이어지면서 다시금 인텔브로커라는 닉네임이 회자되고 있다. 그럼 인텔브로커는 도대체 누구이길래 세계 최고 기업들에 이어 우리나라까지 뒤흔들고 있는 것일까?
먼저 AMD가 해킹 공격을 당했던 지난 6월로 돌아가보자. 당시 AMD가 다크웹과 보안 매체들에 이름을 올리기 시작했다. 다크웹에 AMD의 데이터라고 하는 덤프가 올라왔기 때문이다. 인텔브로커가 AMD.com으로부터 훔친 데이터라고 주장하며 샘플을 업로드 한 것이었다. 아래에 설명을 하겠지만 인텔브로커는 굵직굵직한 기업이나 기관들에서 데이터를 훔쳐내 판매하는 것으로 유명한 해커 혹은 해킹 단체다. 여기에 시총 2,500억 달러의 기업이 당한 것이다.
인텔브로커는 다크웹 포럼에 데이터를 올리며 당시에 이렇게 썼다.
“오늘 내가 판매할 데이터는 AMD.com의 데이터 침해 사건에서 나온 것이다. AMD라는 대형 기업은 2024년 6월 데이터 침해 사고를 겪었다. 침해된 데이터는 미래 AMD 제품, 사양표, 임직원 데이터베이스, 고객 데이터베이스, 자산 관련 파일, ROM, 소스코드, 펌웨어, 금융 정보다.” 이에 AMD 측은 “사건에 대해 인지했고, 정말 침해 사고가 있었는지 알아보기 위해 조사하는 중”이라고 발표했다가 결국 침해 사실을 인정했다.
AMD에 이어 애플까지, 단 이틀 만에
여기에 더해 인텔브로커는 애플마저 침해했다고 주장했다. AMD의 정보를 공개한다고 했던 바로 다음 날이었다. 메시지는 비교적 간단했다. “애플에서 자주 사용하는 도구 세 개의 내부 소스코드를 발표한다”였다. 이 세 개 도구는 다음과 같다.
1) AppleConnect-SSO
2) AppleMacroPlugin
3) Apple-HWE-Confluence-Advanced
다만 어떤 식으로 이 도구의 소스코드에 손을 뻗칠 수 있었는지, 훔친 소스코드를 가지고 무엇을 할 수 있는지 등에 대한 상세 내용은 하나도 공개하지 안핬다.
따라서 이 세 가지 도구들이 어떤 목적으로 사용되는지는 아직까지 정확하게 알려지지 않았다. 다만 당시 일부 외신에 의하면 AppleConnect-SSO는 이름에서 알 수 있듯 싱글사인온과 관련된 도구로 보이며, 애플 내부에서 사용하는 일종의 로그인 및 아이덴티티 인증 도구일 것으로 추정했다. 애플 역시 어떤 발표도 하지 않았다.
[이미지= 브리치포럼즈 캡처]
세상을 뒤흔드는 인텔브로커, 누구인가?
인텔브로커가 워낙 이런 식의 사건을 자주 저지르기 때문에 모두가 정체를 궁금해 한다. 하지만 안타깝게도 인텔브로커가 어느 지역을 기반으로 활동하는지, 어떤 동기를 가지고 움직이는지, 누구와 협력 관계를 이루고 있는지, 심지어 개인인지 단체인지, 어느 것 하나 명확히 밝혀진 것이 없다. 사실은 APT 공격자들이고, 적국의 주요 기업과 기관들을 노리는 게 원래 목적인데 그러한 활동을 감추기 위해 만들어진 가짜 페르소나라는 주장도 있고, 단순 금전적 이득을 취하려는 공격 단체라는 설도 있다. 실력이 뛰어난 개인이라는 분석도 있고 잘 알려지지 않은 이란의 해킹 단체라는 말도 나온다.
그렇다면 인텔브로커에 대해 알려진 것은 무엇일까? 몇 가지 안 되지만 정리하자면 다음과 같다.
1) 영어를 모국어 수준으로 구사한다. 모국어일 가능성이 높다.
2) 엔듀어런스 랜섬웨어(Endurance ransomware)라는 이름으로 활동하는 때가 가끔 있다.
3) 2022년에 활동을 개시했으나 2023년 온라인 식료품 서비스인 위(Weee!)를 해킹해 이름을 떨치기 시작했다. 당시 1100만 고객의 정보가 유출됐다.
4) 유명 해킹 포럼인 브리치포럼즈(BreachForums)를 애용한다.
5) 인텔브로커는 브리치포럼즈에 이따금씩 같이 작업할 파트너를 구하는 글을 올린다. 대부분 C#을 다룰 줄 아는 사람을 뽑는다.
미국 국방부는 인텔브로커 혹은 엔듀어런스를 이란 정부와 밀접한 관계를 맺고 있는 자들로 파악하기도 했었다. 근거는 다음 두 가지였다.
1) 인텔브로커가 사용하는 도구들이 이란 해커들이 사용하는 도구들과 비슷하다.
2) 악명 높은 데이터 삭제 도구인 샤문4(Shamoon 4)를 가끔씩 사용하는데, 이 역시 이란 해커들이 자주 활용하는 전략이다,
물론 강력한 근거라고 할 수는 없었고, 인텔브로커는 스스로를 독립적으로 활동한다고 주장하며 국방부의 의견을 반박했다. 이 때 인텔브로커는 스스로에 대해 “세르비아에서 거주하는 개인”이라고 주장했다.
[이미지= gettyimagesbank]
이러한 사실들로 알 수 있는 건 거의 없다. 정말 세르비아인일 수도 있고 아닐 수도 있다. 세르비아에서 단순히 거주하는 것일수도 있고, 아닐 수도 있다. 정말 실력이 뛰어난 개인일 수도 있지만, 특정 해킹 단체에 속해 있다가 개인 활동을 하는 것일 수도 있다. 이란 APT 단체들이 사용했던 멀웨어를 어디선가 구해서 재활용하는 것일 수도 있고, 이란의 해커일 수도 있다. 이 때문에 인텔브로커에 대해 속시원히 말 할 수 있는 건 아직 거의 없다고 봐도 무방하다.
피해자들
인텔브로커의 움직임에는 패턴이 존재한다. 거의 항상 이런 식이다.
1) 브리치포럼즈에 데이터 샘플을 올린다.
2) 유명 기업이나 기관의 데이터라고 주장한다.
3) 데이터 구매를 원한다면 어느 정도의 값을 지불해야 한다고 제시한다.
4) 그리고는 한 동안 잠잠하다.
사실 이는 데이터를 훔치고 판매하는 많은 해킹 단체들이 보이는 패턴과 크게 다르지 않다. 다만 문제는 2)번이다. 유명한 기업들이나 기관들만 골라서 공격하는 것처럼, 인텔브로커가 한 번 데이터를 올리면 세상이 떠들썩해진다. 이번 AMD가 매우 전형적인 사례라고 할 수 있다. 그 외에도 볼보나 힐튼호텔 등이 인텔브로커에 당한 바 있다.
하지만 피해 사례가 누적되면서 인텔브로커가 선호하는 공격 대상이 있는 듯한 모습이 포착되고 있는 것도 사실이다. 현재까지 알려진 바에 따라 짐작되는 인텔브로커의 주력 공격 대상은 국방과 관련이 있는 단체들이다. 그것도 미국과 미국의 동맹국들의 국방 기업 및 시설들이 주요 피해자들이다. 인텔브로커는 미국 국토안보부에서 파일을 훔치고 고등연구계획국에서도 문건을 빼돌렸으며, 미군 대시보드(US Army Dashboard)로 접근하게 해 주는 대가로 돈을 받은 적도 있다. 최근에는 파이브아이즈(Five Eyes)라는 미국의 주요 동맹국들과 관련된 기밀 문서를 NSA로부터 확보해 판매하기도 했었다.
[이미지= gettyimagesbank]
어쩌면 국방이 아니라 ‘미국 조직’이 표적일 수도 있다. 왜냐하면 미국 교통부에서 580만 건의 비행 로그를 유출시키기도 했으며, LA 공항 시스템을 침해하고, 미국 시민권과 이민자 발급 서비스를 공략해왔기 때문이다. 미국 국회의원들이 이용하는 건강 포털과 보험 서비스들을 침해해 개인정보와 각종 민감 정보를 탈취하기도 했었다. 사회 기반 시설을 노리는 건데, 미국에 굉장히 집중되어 있다는 것을 알 수 있다. 사회적 혼란을 야기하고 체제에 대한 신뢰를 붕괴시키는 것도 주요 목적 중 하나인 것으로 의심되는 이유다.
실제로 사회 기반 시설에 대한 인텔브로커의 관심은 남다르게 조명 받아 마땅하다. 특히 IT와 통신망을 자주 공략하는데, 몇 가지 사례만 모아보면 다음과 같다.
1) HPE의 로그인 크리덴셜과 시스템 설정 파일 탈취
2) AT&T 고객 3700만 명의 개인정보 탈취
3) 2300만 건의 기록이 저장되어 있는 버라이즌의 데이터베이스
여기까지만 보면 이들의 동기가 APT 단체의 그것과 일치하는 것처럼 보인다. 그러나 인텔브로커를 APT 조직으로 규정하기에는 찜찜하다. 위에도 밝혔지만 그는 훔쳐낸 정보를 무료로 공개하는 게 아니라 판매하기 때문이다. 꽤나 긴 기간 판매자가 나타날 때까지 기다리기도 한다. 사회 인프라와 관련이 없는 민간 기업들도 곧잘 노리고, 여느 해커들처럼 은행들도 자주 공격한다. 현재까지 인텔브로커에 당한 기업이나 은행은 위, 판다바이(PandaBuy), 바클리(Barclays) 은행, HSBC 은행, 아코(Accor), 홈데포(Home Depot), 페이스북 마켓플레이스(Facebook Marketplace)이다.
사이버니거즈?
인텔브로커를 사이버니거즈(CyberNiggers)라는 악명 높은 해킹 집단의 주요 구성원으로 보는 시각도 존재한다. 이들은 이름에서도 알 수 있듯 기본적으로 ‘노골적인 인종차별주의’를 표방하고 있으며(Nigger는 흑인을 비하하는 용어이다), 브리치포럼즈에서도 큰 영향력을 발휘한다. 2023년 말, 제너럴일렉트릭(GE)의 데이터를 판매하면서 존재감을 나타내기 시작했으나, 아직 이들에 대해 알려진 바는 그리 많지 않다.
사이버니거즈에 대해 현재까지 알려진 사실은 다음과 같다.
1) 구성원이 많지 않으나 전부 브리치포럼즈의 회원들이다.
2) 미국의 사회 기반 시설을 주로 노린다.
3) 파이브아이즈 국가에서 이들을 감시하고 있다.
4) 금전적인 목적을 가지고 움직인다.
5) 미국, 유럽, 남아프리카, 인도에서 이들에 의한 피해가 보고된 적이 있다.
6) 무작위 대입 공격을 하거나 최초 접근 브로커를 활용한다.
7) 민감한 데이터 유출을 주로 한다.
인텔브로커가 사이버니거즈의 구성원이라고 주장하는 측에서는 ‘사이버니거즈의 피해자 = 인텔브로커의 피해자┖라는 견해를 가지고 있다. 심지어 매체들에 등장하는 인텔브로커 관련 사건이 사실은 사이버니거즈가 일으킨 사건으로 봐야 한다고도 말한다. 이와 관련해서는 의견이 분분한데, 둘이 친분은 있을 수 있지만 인텔브로커가 사이버니거즈의 소속이라고 확증할 만한 증거가 아직 없기 때문이다. 다만 피해자들과 활동 방향성에서 겹치는 부분이 존재하는 것은 사실이다.
사이버니거즈가 사이버니거즈의 이름으로 공개한 데이터 유출 사건의 피해자들은 인도 정부, 남아공 정부, 독일 클라우드 업체, 인도네시아 통신사 등이다. 그외 일부 구성원이 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사태에도 가담했다는 주장도 존재한다. 사이버니거즈와 인텔브로커가 공동으로 피해자의 정보를 게시한 경우도 적지 않다.
인텔브로커의 전략
인텔브로커라는 이름에서 ‘브로커’는 최근 다크웹에 많이 나타나는 공격자 유형인 ‘최초 접근 브로커(initial access broker, IAB)’를 연상케 한다. 실제로 인텔브로커는 원래 IAB 사업을 하던 인물 혹은 단체라는 게 보안 업계의 중론이다. 다른 해커들에게 최초 접근 서비스를 제공하다가 스스로 범죄 행위를 하기에 이르러 오늘 날의 사업 형태를 띄게 된 것으로 추정된다. 이런 식으로 시간이 지나면서 성질이 바뀌거나 공격 범위가 확장되는 사례는 흔하기 때문에 인텔브로커의 그것이 독특하거나 새로운 것은 아니다.
[이미지= gettyimagesbank]
다만 아직 랜섬웨어 사업으로까지 정식으로 확장한 것은 아닌 것으로 파악되고 있다. 가끔 엔듀어런스 랜섬웨어라는 이름으로 활동을 하기도 하는데, 전통적 의미의 랜섬웨어 공격을 실시한 적은 없다. 즉 피해자의 파일을 암호화하고, 이를 빌미로 돈을 뜯어내는 일은 하지 않는다는 것이다. 데이터를 빼돌리고 협박을 하는 것이 인텔브로커의 주된 전략이다. (사실 협박도 주된 전략이라고 하기 힘들다. 인텔브로커는 정보를 훔친 뒤 다크웹에 판매하는 걸 즐겨한다. 이 소식을 피해자가 듣고 협박이라고 느낄 수는 있다.)
엔듀어런스라는 이름이 활용되는 또 다른 곳은 깃허브다. 인텔브로커는 공공 리포지터리를 하나 깃허브에 가지고 있는데, 이 리포지터리의 이름이 엔듀어런스와이퍼(Endurance-wiper)이다. 이름 그대로 C#을 기반으로 하고 있는 와이퍼 도구가 이곳에 호스팅 되어 있다. 아직 인텔브로커가 데이터 삭제 공격을 했다는 기록은 존재하지 않는다. 실제로 데이터 삭제 공격을 하지 않았을 수도 있지만 아직까지 사례가 발견되거나 알려지지 않은 것일 수도 있다. 이 공공 리포지터리의 정확한 존재 이유에 대해서는 아직까지 정확히 밝혀진 바가 없다.
인텔브로커가 실제로 침해를 해서 데이터를 빼돌린 후 판매하는 것이라면, 인텔브로커는 어떻게 하는 걸까? 어떻게 하기에 그 유명하고 덩치 큰 조직들만 칠 수 있는 걸까? 현재까지 알려진 바에 의하면 인텔브로커는 거의 모든 경우 취약점을 익스플로잇 하는 방법으로 피해자의 시스템과 망에 침투한다. 그러나 다른 해킹 조직들과 달리 특별히 선호하는 취약점 한두 개를 집중 공략하는 건 아니다. 여러 가지 취약점을 활용할 줄 안다. 온프레미스에 설치되는 소프트웨어의 취약점, 웹 취약점, 서드파티 SaaS 취약점 등 죄다 이들의 먹잇감이 되어 왔다. 심지어 제로데이 취약점을 익스플로잇 하기도 했었다.
당연하지만 인텔브로커는 암호화폐로 거래한다. 그 중에서도 모네로를 특히 선호한다. 원래 사이버 공격자들이 가장 선호하던 암호화폐는 비트코인이었으나 익명성이라는 측면에서 모네로가 더 뛰어나다는 사실이 알려지면서 모네로로 많이들 옮겨갔다. 인텔브로커는 구매자들과 톡스(Tox) 메신저로 소통한다. 톡스는 시그널(Signal)과 유사한 종단간 암호화 통신 플랫폼이지만 사이버 범죄자들 사이에서 대단히 지명도가 높은 건 아니다.
인텔브로커에 대해 낱낱이 파악하고 있지 않지만 보안 업계는 마이터(MITRE)의 어택(ATT&CK) 프레임워크를 기준으로 인텔브로커의 전략을 다음과 같이 분류하고 있다.
1) T1485 - 데이터 파괴
2) T1190 - 공공 인터넷에 연결된 애플리케이션 익스플로잇
3) T1203 - 클라이언트에서의 실행 부분을 익스플로잇
4) T1041 - C2 채널을 통한 데이터 유출
5) T1083 - 파일과 디렉토리 탐색 및 발견
6) T1078 - 정상적인 계정 활용
7) T1005 - 로컬 시스템의 데이터
인텔브로커로부터 어떻게 스스로를 보호해야 하는가?
인텔브로커는 현대 보안 분야에 있어 상당히 까다로운 존재이다. 하지만 취약점 익스플로잇을 상당히 선호한다는 고정적인 패턴을 보이고 있기 때문에 취약점 관리가 가장 적절한 해결책이 될 수밖에 없다. 현대 보안에서의 ‘취약점 관리’는 단순히 패치를 적용하는 것보다 훨씬 더 능동적인 것으로 헌팅, 즉 사냥에 비유되기도 한다. 위협 사냥(threat hunting)이 바로 그것이다.
[이미지= gettyimagesbank]
위협 사냥은 보안 담당자가 자신의 네트워크와 시스템들을 주기적, 선제적으로 조사하여 위험 요소들을 찾아내 해결하는 것을 말한다. 위험 요소들은 이미 공개된 취약점들과 제로데이 취약점, 해커들이 몰래 들어와 심어두었을지 모르는 도구들이나 스캔의 흔적, 회사와 공유하지 않은 채 직원들이 사용하고 있는 비승인 애플리케이션이나 장비 등을 포함한다. 즉 위협 사냥은 보다 넓은 개념에서의 취약점 관리라고 볼 수 있다.
취약점 관리에 있어서 가장 중요한 건 취약점 우선순위를 결정하는 것이다. 패치해야 할 취약점이 한두 개가 아닌 상황이기 때문에 먼저 패치해야 할 것과 나중으로 미뤄둘 것을 정해야 한다. 취약점 점수인 CVSS를 참고하여 가장 점수가 높은 것부터 해결하는 것이 보편적이나, 최근에는 미국 CISA가 선정하는 KEV가 좀 더 선호되는 분위기다. KEV는 이미 공개된 취약점들 중 실제 익스플로잇이 되고 있는 것들을 모아둔 목록이다. CVSS 점수가 높지만 실제 익스플로잇 가능성 자체는 낮은 것들이 있다는 맹점을 보완하는 게 바로 이 KEV라고 할 수 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
