[보안뉴스 김형근 기자] 이란의 지능형지속위협(APT) 그룹들이 실제 공격에 앞서 사이버 공격을 사용해 정찰을 수행하고 공격 후에는 피해 평가를 하는 등 사이버 공격과 군사 작전을 결합하고 있다.

사이버 분쟁 전문가들은 이란이 사이버 공격과 군사 작전을 융합하는 최신 국가가 됐다고 평가하고 있다.


[자료: gettyimagesbank]

아마존의 위협 인텔리전스 연구팀은 클라우드 네트워크 데이터를 기반으로 이란이 사이버 공격을 이용해 실제 표적에 대한 정찰 정보를 획득한 두 가지 사례를 제시했다.

아마존, 이란의 ‘사이버 정찰’ 사례 분석 보고서
연구팀은 이러한 전략을 “국가 행위자가 전쟁에 접근하는 방식의 근본적인 변화”라고 지적하면서 ‘사이버 활용 동역학적 표적화’(Cyber-enabled Kinetic Targeting)라고 지칭했다.

이 전략에는 선박 시스템 해킹 후 미사일 공격과 예루살렘 미사일 공격 전후 CCTV 카메라 침해를 통해 표적 정보를 획득하는 것이 포함된다. 그리고 VPN 네트워크, 전용 서버 인프라, 기업 시스템 침해 등이 공격 인프라 구축에 사용됐다.

이스라엘에 위치한 글로벌 보안기업 체크포인트 소프트웨어 전문가들은 이란 그룹들이 ‘현장 정보’를 군부에 제공하기 위해 장치들을 침해하려 한다고 분석했다.

아마존은 자사의 광범위한 네트워크를 통해 이란의 활동에 대한 가시성을 확보했으며, 허니팟 시스템의 텔레메트리 및 고객 데이터 공유를 활용해 위협 행위자의 인프라를 분석했다.

특히, 이란 혁명 수비대(IRGC)와 연계된 임페리얼 키튼 그룹은 2021년 12월부터 선박의 자동 식별 시스템(AIS) 플랫폼을 침해하고 선박 내 CCTV에 접근했으며, 2024년 1월 특정 선박에 집중한 지 5일 후 후티 반군이 해당 선박을 미사일로 공격했다.

두 번째 사건에서는 이란 정보안보부(MOIS)와 연계된 무디워터 그룹이 예루살렘에 대한 미사일 공격 시 침해된 CCTV 서버의 라이브 스트림을 사용해 표적화 및 피해 평가를 도왔다.

슬로바키아에 본사를 둔 글로벌 보안 기업 이셋 분석팀은 이란이 동맹 세력 약화로 인해 가시성 손실을 만회하고 원거리 작전을 가능하게 하는 대안으로 사이버 정찰을 활용하고 있다고 설명했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>