이란 정보국, 3개 해커 조직으로 위장해 장기간 사이버 공작 수행
14개월 잠복 후 데이터 탈취·파괴하고 심리전까지 병행
동일 인프라로 ‘보이드 맨티코어’ 실체 드러나... 국가 배후 해킹 경고

[보안뉴스 김형근 기자] 이란 정보국(MOIS)이 그동안 ‘홈랜드 저스티스’, ‘카르마’, ‘한다라’라는 세 개의 독립된 해커 집단으로 위장해 치밀한 사이버 공작을 펼쳐온 것으로 밝혀졌다.


[출처: gettyimagesbank]

사이버 위협 인텔리전스 전문 기업 도메인툴즈(DomainTools)에 따르면 서로 다른 조직인 척했던 이들은 사실 이란 정부의 지휘를 받는 단일한 국가 주도 운영 체계인 것으로 드러났다.

이들은 알바니아 정부 시스템을 공격하기 전, 무려 14개월 동안 침투해 잠복하며 정보를 빼돌리는 치밀함을 보였다. 침투 후에는 민감 문서를 훔치고 시스템을 파괴한 뒤, 마치 정의로운 해커인 양 공개 발표를 하며 중대한 지정학적 혼란을 야기했다.

도메인툴즈는 이들이 사용하는 도구, 서버 인프라, 텔레그램 기반의 지휘 체계가 완벽히 일치한다는 점을 근거로 이들의 본체가 악명 높은 해커 집단 ‘보이드 맨티코어’(Void Manticore)임을 밝혀냈다. 보이드 맨티코어는 이란 정보국과 연계된 것으로 알려진 국가 지원 해킹 그룹이다.

이들은 이스라엘과 알바니아 등 특정 국가를 겨냥해 파괴적인 와이퍼 툴을 심어 데이터를 영구 삭제하는 무차별적인 공격을 가했다. 단순한 해킹을 넘어 훔친 데이터를 무기화하고 언론인과 반체제 인사를 협박하는 등 치밀한 심리전과 정보 작전을 병행했다.

특히 소프트웨어 업데이트로 위장한 피싱 공격을 통해 악성 코드를 유포하며 사용자들의 신뢰를 악용했다.

미국 법무부는 3월, 이들이 데이터 유출과 폭력 선동에 사용하던 4개의 주요 범죄 도메인을 전격 압수했다. 국가 배후 해킹은 이처럼 다중 인격 전술로 정체를 숨기기 때문에 인프라를 면밀히 감시하고 외부 접점의 보안을 강화할 필요가 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>