오랜 (사실상의) 독재와 첨단 IT 기술력이 만났을 때 무슨 일이 생길까? 정부가 범죄 조직을 파트너라 부르고 국민들을 피싱 공격의 대상으로 삼게 된다. 이란이 이러한 사례를 모범적으로 보여주고 있다.

[보안뉴스 문가용 기자] 이란이 요즘 사이버 공간에서 부쩍 바쁘다. 사이버 범죄자들을 자기 편으로 끌어들이면서 동시에 자기 편으로 위장하고 있는 이중 간첩들을 솎아내고 있기 때문이다. APT가 범죄 조직과 손을 잡는 것도, 국가 차원에서 반역자를 잡겠다며 국민들을 대상으로 피싱 공격을 시도하는 것도 매우 드문 사례라 주목을 받고 있다.


[이미지 = gettyimagesbank]

1. 랜섬웨어 갱단을 잡아라
최근 미국의 수사국인 FBI와 보안 전담 기구 CISA 등이 합동 보안 권고문을 발표했다. 이란 해커들이 랜섬웨어 갱들과 파트너십을 맺고 미국 조직들을 공격한다는 내용이었다. 국가의 지원을 받는 APT 조직들이 기존처럼 독자적으로 움직여 주요 적국으로부터 정보를 빼돌리는 것이 아니라, 랜섬웨어 갱들을 끌어들여 연합한 후 움직이는 데 초점을 맞추고 있다고 한다. 이런 식으로 미국의 교육, 의료, 국방 분야가 지속적인 공격을 받는 중이라고 CISA는 덧붙였다.

“이란의 APT 공격자들은 우리가 흔히 아는 APT 조직들의 공격 행위에 그치지 않고 있습니다. 정보를 탈취하는 것 정도로 만족하지 않는다는 것이죠. 접근 권한 취득 방법이나 최초 침투 경로 등을 랜섬웨어 공격자들과 함께 부지런히 개발하기도 합니다. 자신들의 노하우를 전해주기도 하고, 그들로부터 공격 관련 정보를 얻어내기도 하지요. 현재까지 노이스케이프(NoEscape), 랜섬하우스(Ransomhouse), 블랙캣(BlackCat)과 같은 랜섬웨어 조직들이 이란 APT들과 협조하고 있습니다.” 권고문의 내용이다.

APT 조직이 제공한 침투 방법을 랜섬웨어 공격자들이 사용할 경우, 해킹 공격의 난이도가 크게 낮아진다. 그 반대도 마찬가지다. FBI는 이런 상부상조의 관계를 촉진시키고 있는 것이 다름 아니라 이란 정부일 거라고 보고 있다. “이란 정부가 뒤에서 이러한 활동을 조장하고 있습니다. 랜섬웨어 조직들이 요즘 들어 정보를 외부로 빼돌리는 데에도 집중하고 있는데, 이런 변화는 APT 조직들이 쌍수들어 환영할 만한 것입니다. 애초에 APT 조직들이 원하는 것이 데이터니까요. 한 마디로 APT가 문을 열어주면 랜섬웨어 갱단이 들어가 정보를 빼오는 관계가 형성됐다고 할 수 있습니다.”

둘이 협력했을 때 피해자가 입는 피해가 더 커진다는 것도 주목해야 할 부분이라고 FBI는 지적한다. “조용히 정보를 훔쳐냈을 때보다, 그 정보를 어디엔가 판매하거나 삭제했을 때 피해가 커지는 건 당연합니다. 적잖은 금전적 손실이 야기되죠. 반면 공격자는 판매를 통해 수익을 거두기도 하고요. 공격 한 번으로 발생하는 금전적 득실의 격차가 훨씬 커지는 것으로, 공격자들에게 있어 이런 파트너십은 꽤나 장점이 많다고 할 수 있습니다.”

그런 장점 중 하나는 APT 조직과 일반 사이버 범죄 조직 간 구분이 어려워진다는 것이기도 하다. 전통적인 개념에서 둘은 원하는 바가 다르고, 공격 전략이나 수위도 다르기 때문에 예방, 추적, 분석의 과정도 달라질 수밖에 없었다. 하지만 둘이 비슷하게 움직이기 시작한다면 방어에 필요한 전략과 수단도 달라져야 한다. 랜섬웨어 조직을 추적하는 방법으로 APT를 추적하기 어렵고, APT의 공격을 예방하기 위한 여러 조치들은 랜섬웨어 공격을 사전에 차단하는 데에 큰 도움이 안 될 수 있다는 뜻이다. 방어는 어려워지고 공격으로 인한 리스크는 낮아진다.

2. 끄나풀을 잡아라
민간 부문에서 활동하는 암흑의 인재들을 끌어모으느라 바쁜 이란 정부지만, 또 다른 한편으로는 이중 첩자를 찾아내느라 바쁘기도 하다. 최근 이란은 가짜 고용 사이트와 관련 소셜미디어 계정들을 대량으로 만들어 적군의 끄나풀들을 적발하고 있다고 한다. 여기에는 이중 간첩으로 확실하게 판명된 사람들만 포함되는 게 아니다. 적국에 우호적인 사람, 그래서 의심 받는 사람들도 사냥의 대상이라고 한다. 미국과 이스라엘과 같은 국가를 위해 일해주는 사람들을 열심히 탐색하고 있다.

그렇다고 무작위로 사람들을 의심해 짚어내는 건 아니다. 다수 보도에 의하면 현재 이란 정부가 특히 주의 깊게 감시하고 있는 건 페르시아어를 구사하며 이란 영토 안이나 밖에서 거주하는 사람들이라고 한다. 첩자를 잡기 위한 이란 정부의 이러한 시도는 최소 2017년부터 시작해 올해 3월까지 진행된 것으로 분석됐다. 이러한 이란 정부의 움직임을 제일 처음 발견해 세상에 알린 건 보안 업체 맨디언트(Mandiant)이다.

맨디언트에 의하면 이란 정부는 엑스와 비라스티(Virasty : 이란의 소셜미디어)라는 플랫폼 내에서 여러 개의 계정들을 만들고, 35개 이상의 구인구직 웹사이트들을 홍보했다고 한다. 당연히 이 구인구직 사이트들도 전부 가짜였다. 이 사이트들 전부 페르시아어로 만들어졌기에, 공격자가 누굴 노리는지가 명확히 드러나기도 한다. 이스라엘 국기와 명소 이미지들이 군데군데 삽입되기도 했다. 이스라엘에 우호적인 자들이라면 확 끌릴 수밖에 없는 디자인인 것. 게다가 ‘급여가 상당한 수준’이라는 문구도 섞여 있다.

“여기에 속은 피해자들은 사이트의 안내에 따라 이력서를 제출해야 하는데, 이 때 상세한 개인정보 및 민감 정보가 기입되며, 끝까지 의심하지 못할 경우 이것을 고스란히 이란 정부에 넘기는 꼴이 됩니다. 이란 정부가 반대편에 선 자들을 폭력적으로 탄압하고, 심지어 혁명수비대까지 동원해 암살도 서슴지 않는다는 걸 생각하면 이 행위가 얼마나 위험한지 이해할 수 있지요.” 맨디언트의 설명이다. “다만 이 캠페인을 통해 이란 정부가 얼마나 많은 사람을 추적하고 있는지, 그들에게 어떤 위해가 가해졌는지는 알 수 없습니다.”

3줄 요약
1. 이란 APT는 랜섬웨어 조직들과 손잡고 공격의 파괴력을 높임.
2. 이란 정부는 국가의 배신자들을 잡아낸다며 피싱 사이트를 스스로 만들어 운영.
3. 이렇게까지 하는 정부, 매우 드문 사례.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>