이스라엘 연계 해커들, 이란 금융·암호화폐 시장 공격
이란, 텔레그램 채널 통해 이스라엘 사칭 계정·허위 정보 확산
미국 국토안보부, "이란의 對美 인프라 타격 위험 증가" 경고
[보안뉴스 여이레 기자] 이스라엘과 이란 간 무력 충돌과 미국의 이란 핵시설 타격 등으로 긴장이 높아지는 가운데, 이들의 사이버 전도 치열해지는 양상이다.
[자료:AP]
최근 이란 최대 국영은행 세파은행은 이스라엘 연계 해커조직의 공격을 받아 은행과 연결된 이란 현지 결제 시스템이 먹통이 되는 등 피해가 발생했다. 공격을 주도한 해커조직 ‘곤제슈케다란데’(Gonjeshke Darande)는 “이란 이슬람혁명수비대(IRGC)의 세파은행 데이터를 파괴하는 사이버 공격을 가했다”고 밝혔다.
세파은행은 핵 및 미사일 프로그램과의 연관성으로 미국 재무부 해외자산통제국(OFAC)의 특별지정대상(SDN) 제재 명단에 올라있다.
‘프레데터리 스패로우’(Predatory Sparrow)라고도 불리는 이 해커 조직은 이어 이란 최대 암호화폐 거래소 노비텍스를 해킹해 최소 9000만달러(약 1236억원) 규모의 암호화폐를 탈취했다.
이들은 2021년 처음 등장해 이란 주요 기관에 사이버 공격을 벌여왔다. 이들은 노비텍스에서 비트코인, 이더리움, 도지코인, 리플, 솔라나 등의 암호화폐를 탈취한 후 접근이 안되는 지갑으로 전송해 ‘소각’시켜 사실상 유통이 불가능하게 만들었다.
이스라엘 첩보기관 모사드는 첨단 기술을 동원해 주변 적대국 인사들을 감청하는 데 탁월한 역량을 보유한 것으로 유명하다. 13일 이스라엘은 모하마드 바게리 이란군 참모총장, 후세인 살라미 IRGC 총사령관 등 군 수뇌부와 이란의 핵무기 관련 프로그램에 관여한 것으로 알려진 과학자와 전문가들을 제거했는데, 이때 이동통신망에 연결된 기기로 이들을 찾아 타격했다는 가능성이 제기된다.
이란은 이스라엘의 사이버 전이 이어지자 인터넷과 일부 모바일 네트워크를 차단하거나 고위급 당국자와 안보 관계자들에게 ‘휴대전화 금지령’을 내리기도 했다. 이란 현지 매체들은 이동통신망에 연결된 휴대전화를 사용할 경우 이스라엘로 민감 정보가 넘어갈 수 있다고 설명하며 자국민에게 왓츠앱 메신저 등을 휴대전화에서 삭제할 것을 당부했다.
이란 정부의 지원을 받는 해커들과 핵티비스트 단체들도 이스라엘에 대한 사이버 전 활동을 늘려가고 있다. 이란은 2020년 이후 이스라엘을 중심으로 한 사이버 공격을 벌여왔다.
이스라엘 보안기업 라드웨어는 보고서를 통해 이들이 분산 서비스 거부(DDoS) 공격이나 랜섬웨어 등을 사용해 산업 제어 시스템(ICS), 공공 서비스, 의료 네트워크 등 중요 인프라 교란에 집중할 것으로 예상했다.
[자료:CARONLINE 텔레그램]
이스라엘을 겨냥한 이란의 조직적 소셜미디어 심리전 및 여론 조작 활동도 포착되고 있다. 미국 민주주의방어재단(FDD, Foundation for Defense of Democracies) 연구진은 ‘CAR ONLINE’ (@caronline_original)이라는 텔레그램 채널이 X 등 소셜미디어에서 이스라엘 국민들의 불만을 높이고 사기를 꺾기 위한 여론전의 중심 역할을 하고 있음을 발견했다.
‘CAR ONLINE’ 텔레그램 채널의 배후에는 이란이 개입돼 있을 가능성이 높다. 이 채널은 이란 메시징 플랫폼 EITAA 계정과 연결되어 있으며, 이란 서버에서 호스팅되는 caronlineofficial[.]com이라는 웹사이트를 운영하고 있다. 텔레그램 프로필의 전화번호도 이란 전화번호와 연결돼 있다.
이란어 사용자 40만명이 가입돼 있는 이 텔레그램 채널은 이란에 우호적이고 이란에 대한 공격을 비판하는 뉴스를 공유하는 한편, 이스라엘 국민을 사칭한 가짜 X 계정을 만드는 방법에 대한 자세한 지침을 제공한다. 챗GPT 등 AI 도구를 이용해 이란어 콘텐츠를 히브리어로 번역하고 이스라엘 방식으로 계정 이름을 짓게 했다.
이들은 “내 아이들이 비명을 지른다”, “지쳤다, 하나님 우리를 구해주세요” 등과 같은 히브리어 표현들을 정리한 목록을 공유해 이스라엘 국민인 것처럼 X에 올리도록 유도한다. X의 콘텐츠 관리 시스템을 우회하기 위해 이들 표현을 일부 수정해 사용해 진짜 게시물처럼 보이도록 했다. 자체 X 계정도 운영하며 텔레그램에서 지령을 받은 콘텐츠의 확산에 사용했다.
▲벙커버스터 폭탄이 뚫고 들어간 구멍이 남은 포르도 핵시설 [자료:연합뉴스]
아울러 미국이 지난 21일(현지시간) 이스라엘과 긴밀한 공조 하에 이란 핵 시설 3곳(포르도, 나탄즈, 이스파한)을 타격하면서 미국에 대해 이란이 사이버 공격을 벌일 위험도 높아졌다.
실제로 이란 연계 핵티비스트 그룹 ‘313 팀’(313 Team)은 도널드 트럼프 미국 대통령이 이란 핵 시설 타격을 발표하자 트럼프 소유 소셜 미디어인 트루스소셜에 DDoS공격을 실시했다고 주장했다. 트루스소셜은 한때 잠시 접속 장애를 일으켰다가 복구됐다.
미국 국토안보부(DHS)는 “이란 핵 시설 공격에 대응해 미국을 목표로 한 사이버 공격이 시작될 가능성이 높다”며 “친이란 핵티비스트와 이란 정부 연계 해커들이 사이버 공격을 위해 보안이 취약한 미국의 네트워크와 인터넷 연결 장치를 정기적인 표적으로 삼고 있다”고 발표했다.
이란이 통신사나 항공사, 호텔 등 요주의 인물을 식별 및 추적하는 데 사용할 수 있는 데이터를 보유한 조직을 겨냥하고 있다는 경고도 나온다. 이런 조직과 관련된 개인 역시 간접적으로 이란 사이버 첩보 활동의 표적이 될 수 있다.
존 헐트퀴스트 구글 위협 인텔리전스 그룹 수석 애널리스트는 “이란은 이미 미국을 표적으로 삼은 사이버 첩보 활동을 통해 직간접적으로 지정학적 정보를 수집하고 핵심 인물들에 대한 감시를 진행하고 있다”며 “특히 이란 정책과 관련된 개인 및 조직의 계정은 소셜 엔지니어링 공격의 표적이 될 수 있으므로 주의해야 한다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
이란, 텔레그램 채널 통해 이스라엘 사칭 계정·허위 정보 확산
미국 국토안보부, "이란의 對美 인프라 타격 위험 증가" 경고
[보안뉴스 여이레 기자] 이스라엘과 이란 간 무력 충돌과 미국의 이란 핵시설 타격 등으로 긴장이 높아지는 가운데, 이들의 사이버 전도 치열해지는 양상이다.
[자료:AP]
최근 이란 최대 국영은행 세파은행은 이스라엘 연계 해커조직의 공격을 받아 은행과 연결된 이란 현지 결제 시스템이 먹통이 되는 등 피해가 발생했다. 공격을 주도한 해커조직 ‘곤제슈케다란데’(Gonjeshke Darande)는 “이란 이슬람혁명수비대(IRGC)의 세파은행 데이터를 파괴하는 사이버 공격을 가했다”고 밝혔다.
세파은행은 핵 및 미사일 프로그램과의 연관성으로 미국 재무부 해외자산통제국(OFAC)의 특별지정대상(SDN) 제재 명단에 올라있다.
‘프레데터리 스패로우’(Predatory Sparrow)라고도 불리는 이 해커 조직은 이어 이란 최대 암호화폐 거래소 노비텍스를 해킹해 최소 9000만달러(약 1236억원) 규모의 암호화폐를 탈취했다.
이들은 2021년 처음 등장해 이란 주요 기관에 사이버 공격을 벌여왔다. 이들은 노비텍스에서 비트코인, 이더리움, 도지코인, 리플, 솔라나 등의 암호화폐를 탈취한 후 접근이 안되는 지갑으로 전송해 ‘소각’시켜 사실상 유통이 불가능하게 만들었다.
이스라엘 첩보기관 모사드는 첨단 기술을 동원해 주변 적대국 인사들을 감청하는 데 탁월한 역량을 보유한 것으로 유명하다. 13일 이스라엘은 모하마드 바게리 이란군 참모총장, 후세인 살라미 IRGC 총사령관 등 군 수뇌부와 이란의 핵무기 관련 프로그램에 관여한 것으로 알려진 과학자와 전문가들을 제거했는데, 이때 이동통신망에 연결된 기기로 이들을 찾아 타격했다는 가능성이 제기된다.
이란은 이스라엘의 사이버 전이 이어지자 인터넷과 일부 모바일 네트워크를 차단하거나 고위급 당국자와 안보 관계자들에게 ‘휴대전화 금지령’을 내리기도 했다. 이란 현지 매체들은 이동통신망에 연결된 휴대전화를 사용할 경우 이스라엘로 민감 정보가 넘어갈 수 있다고 설명하며 자국민에게 왓츠앱 메신저 등을 휴대전화에서 삭제할 것을 당부했다.
이란 정부의 지원을 받는 해커들과 핵티비스트 단체들도 이스라엘에 대한 사이버 전 활동을 늘려가고 있다. 이란은 2020년 이후 이스라엘을 중심으로 한 사이버 공격을 벌여왔다.
이스라엘 보안기업 라드웨어는 보고서를 통해 이들이 분산 서비스 거부(DDoS) 공격이나 랜섬웨어 등을 사용해 산업 제어 시스템(ICS), 공공 서비스, 의료 네트워크 등 중요 인프라 교란에 집중할 것으로 예상했다.
[자료:CARONLINE 텔레그램]
이스라엘을 겨냥한 이란의 조직적 소셜미디어 심리전 및 여론 조작 활동도 포착되고 있다. 미국 민주주의방어재단(FDD, Foundation for Defense of Democracies) 연구진은 ‘CAR ONLINE’ (@caronline_original)이라는 텔레그램 채널이 X 등 소셜미디어에서 이스라엘 국민들의 불만을 높이고 사기를 꺾기 위한 여론전의 중심 역할을 하고 있음을 발견했다.
‘CAR ONLINE’ 텔레그램 채널의 배후에는 이란이 개입돼 있을 가능성이 높다. 이 채널은 이란 메시징 플랫폼 EITAA 계정과 연결되어 있으며, 이란 서버에서 호스팅되는 caronlineofficial[.]com이라는 웹사이트를 운영하고 있다. 텔레그램 프로필의 전화번호도 이란 전화번호와 연결돼 있다.
이란어 사용자 40만명이 가입돼 있는 이 텔레그램 채널은 이란에 우호적이고 이란에 대한 공격을 비판하는 뉴스를 공유하는 한편, 이스라엘 국민을 사칭한 가짜 X 계정을 만드는 방법에 대한 자세한 지침을 제공한다. 챗GPT 등 AI 도구를 이용해 이란어 콘텐츠를 히브리어로 번역하고 이스라엘 방식으로 계정 이름을 짓게 했다.
이들은 “내 아이들이 비명을 지른다”, “지쳤다, 하나님 우리를 구해주세요” 등과 같은 히브리어 표현들을 정리한 목록을 공유해 이스라엘 국민인 것처럼 X에 올리도록 유도한다. X의 콘텐츠 관리 시스템을 우회하기 위해 이들 표현을 일부 수정해 사용해 진짜 게시물처럼 보이도록 했다. 자체 X 계정도 운영하며 텔레그램에서 지령을 받은 콘텐츠의 확산에 사용했다.
▲벙커버스터 폭탄이 뚫고 들어간 구멍이 남은 포르도 핵시설 [자료:연합뉴스]
아울러 미국이 지난 21일(현지시간) 이스라엘과 긴밀한 공조 하에 이란 핵 시설 3곳(포르도, 나탄즈, 이스파한)을 타격하면서 미국에 대해 이란이 사이버 공격을 벌일 위험도 높아졌다.
실제로 이란 연계 핵티비스트 그룹 ‘313 팀’(313 Team)은 도널드 트럼프 미국 대통령이 이란 핵 시설 타격을 발표하자 트럼프 소유 소셜 미디어인 트루스소셜에 DDoS공격을 실시했다고 주장했다. 트루스소셜은 한때 잠시 접속 장애를 일으켰다가 복구됐다.
미국 국토안보부(DHS)는 “이란 핵 시설 공격에 대응해 미국을 목표로 한 사이버 공격이 시작될 가능성이 높다”며 “친이란 핵티비스트와 이란 정부 연계 해커들이 사이버 공격을 위해 보안이 취약한 미국의 네트워크와 인터넷 연결 장치를 정기적인 표적으로 삼고 있다”고 발표했다.
이란이 통신사나 항공사, 호텔 등 요주의 인물을 식별 및 추적하는 데 사용할 수 있는 데이터를 보유한 조직을 겨냥하고 있다는 경고도 나온다. 이런 조직과 관련된 개인 역시 간접적으로 이란 사이버 첩보 활동의 표적이 될 수 있다.
존 헐트퀴스트 구글 위협 인텔리전스 그룹 수석 애널리스트는 “이란은 이미 미국을 표적으로 삼은 사이버 첩보 활동을 통해 직간접적으로 지정학적 정보를 수집하고 핵심 인물들에 대한 감시를 진행하고 있다”며 “특히 이란 정책과 관련된 개인 및 조직의 계정은 소셜 엔지니어링 공격의 표적이 될 수 있으므로 주의해야 한다”고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
