시리아와 이란의 해킹 부대서 미국, 브라질, 요르단, 러시아 등 노려
석유에 얽힌 역사와 국제 관계 지형 노린 공격인 듯

[보안뉴스 문가용] 미국, 브라질, 영국, 독일, 요르단, 러시아, UAE에서 휘발유 게이지 시스템으로 가장한 허니팟을 사용한 실험이 진행됐다. 허니팟이란, 해커들을 속이기 위해 가짜로 시스템을 만들어 해커들의 공격이 일어날 경우 그대로 가둬서 공격방법 등을 분석하는 기법이다. 해커들을 위한 덫이나 다름없는 것으로, 특별히 이번 실험에서는 하나도 빠짐없이 공격이 들어왔다. 디도스, 디페이스, 정보 쿼리 등 방법도 다양했다. 대부분 이란과 시리아의 핵티비스트들의 소행이었다.
 


이 실험을 감행한 건 트렌드 마이크로(Trend Micro)의 카일 윌호이트(Kyle Wilhoit)와 스티븐 힐트(Stephen Hilt)로 직접 만든 허니팟 버디어루트 가디언 AST(Vedeer-Root Guardian AST) 휘발유 게이지 모니터링 시스템으로 시리아와 이란 등지에서 활동하고 있는 해킹 단체인 시리아 전자군(Syrian Electronic Army)과 이란 다크 코더(Iranian Dark Coders)를 속이는 데 성공했다고 밝혔다.

“총 18번의 공격이 있었습니다. 가짜 펌프를 조정하려는 시도가 네 번, 디도스 공격이 두 번, 정보를 탈취하려는 목적의 펌프 쿼리가 12번 있었습니다. 그 중 디도스 공격은 IP를 봤을 때 시리아 전자군인 것으로 보입니다. 또한 그들이 사용한 툴인 LOIC DDoS 역시 시리아 전자군이 주로 사용하는 것으로 알려져 있습니다. 이들은 워싱턴 DC에 있는 개스팟(Gaspot)이라는 허니팟에도 2Gbps의 디도스 공격을 감행했습니다.” 하지만 이는 높은 가능성의 심증일 뿐 100% 확증이 될 수는 없다고 밝혔다.

이란 다크 코더 혹은 IDC는 친이란 성향을 보이는 핵티비스트 그룹으로 요르단에 위치한 것처럼 보이는 허니팟에 두 번에 걸쳐 펌프 이름 수정 공격을 가했다. IDC는 디페이스 공격과 멀웨어 배포로 유명한데, 펌프의 이름을 각각 H4CK3D by IDC-TEAM(IDC 팀 해킹하다)과 AHAAD Was Here로 바꿔놓음으로써 자신들의 존재를 그대로 드러냈다고.

“IP를 조사해보니 전부 이란의 IP더군요. 이란의 해커들이 요르단을 공격했다는 건 매우 흥미로웠습니다. 정치적으로 말이죠.” 그러나 공격이 매우 강력하거나 악독하지는 않았다는 게 윌호이트의 설명이다. “요르단과 이란의 정치적인 상황을 봤을 때 공격이 일어났다는 것 자체가 재미있었습니다. 공격 방법이나 심각성보다도요.” (1980~98년 간 발생한 이란과 이라크 사이의 전쟁에서 요르단은 이라크 편을 드는 등 이 두 나라의 관계는 별로 좋지 않다. 하지만 91년부터 다시 외교를 시작했고, 지금은 그냥 그저 그런 관계를 유지하고 있다.)

보통 휘발유 게이지를 공격한다고 했을 때 최악의 시나리오는 해커가 휘발유 양에 대한 정보에 접근했을 때다. 공급과 수급 상황에 혼란을 야기할 수 있기 때문이다. “물론 휘발유 탱크를 넘치게 할 수는 없습니다. 그러나 마르게 할 수는 있죠. 텅 비어 있는데 꽉 차 있는 것처럼 조작해서요.” 디도스 공격이 가해졌을 경우 역시 휘발유 공급에 문제를 일으킨다.

위 전문가들은 허니팟을 매우 ‘사실적으로’ 제작했다고 한다. “허니팟마다 조금씩 달라 보이도록 설정했습니다. 각 지역에 해당하는 IP 주소를 배당했고요. 일부는 검색이 가능하도록 설정했고, 일부는 검색이 불가능하도록 했습니다. 인터넷에 연결된 여느 주유소 시스템을 거의 그대로 따라 만들었고 PINS는 사용하지 않았습니다. 보안 상태를 엉망으로 해놔서 해커가 침입하기 쉽게도 해놨고요.”

이번 허니팟 실험으로 주유소 및 휘발유 공급 체계를 노리는 해커들의 성향을 알게 되었다는 게 소득이라면 커다란 소득이라고 윌호이트는 평한다. “중동 정세, 미국과의 마찰, 따지고 보면 전부 석유 때문에 일어난 일이거든요. 석유의 패권을 쥐기 위해 역사가 바뀐 일도 많지요. 또 현대 사회를 굴러가게 하는 기반이 석유이기도 하고요. 해커들은 핵심을 정말 잘 찌르는 것 같습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>