한국의 기업들에서 훔친 인증서 활용해 공격... 대부분 경제 주역들
인증서 보호 역시 보안의 중요한 요소로 인식되어야

[보안뉴스 문가용] 시만텍의 보안 전문가들이 이번 주 사이버 스파이 그룹의 활동을 발견했다. 석플라이(Suckfly)라는 이 그룹은 2014년 4월부터 여러 조직들에 사이버 공격을 감행했던 것으로 알려졌다. 석플라이는 시만텍이 붙인 이름이다.



시만텍에 따르면 석플라이는 여러 나라의 정부 및 상업 조직들을 주요 표적으로 삼아왔는데, 그중에서도 인도의 특정 인물과 조직들을 집요하게 노렸다. 또한 Backdoor.Nidiran이라는 맞춤형 백도어 멀웨어를 주로 사용했는데, 이 멀웨어에 대해서는 시만텍이 지난 3월 이미 분석을 마쳐 보고서까지 발간한 바 있다. 이 외에도 석플라이는 도난 인증서도 여럿 사용했다.

시만텍의 존 디마지오(Jon DiMaggio)는 “이 단체는 2015년 한 해 동안 유명한 상업 및 금융 조직들을 주로 공격했다”고 설명하며 “대부분 인도에 위치한 조직들이었다”고 밝혔다. 여기에는 인도에서 가장 큰 금융 조직, 대형 이커머스 기업, 무역 회사, 인도 탑5 안에 들어가는 IT 기업, 두 개의 정부 조직, 미국 의료 산업 조직의 인도 지부 등이 속해 있다. “감염 비율을 비교해봤을 때 석플라이는 정부와 관련된 네트워크를 주로 노린 듯 합니다.”

전체 공격을 표적별로 나눠봤을 때 “공격의 32%가 정부와 관련된 표적을 노린 것이고, 기술 산업이 29%, 이커머스가 14%, 금융 기관이 14%, 무역산업이 7%, 의료가 4%”인 것으로 조사됐다.

석플라이는 위에서 언급한 니디란(Nidiran)이라는 백도어와 기타 다른 해킹 툴들을 가짜 인증서로 서명해 표적들에 심은 것으로 나타났다. 이로써 조직 내부의 네트워크 및 시스템에 침투했다. 이 과정을 조사하던 시만텍은 재미있는 사실을 하나 발견한다. “공격이 월요일부터 금요일 사이에만 발생했습니다. 출퇴근하듯이요.” 이 지점에서 거대 세력의 후원을 받고 있음이 의심되었다.

또한 “스스로 멀웨어를 제작할 수 있었다는 점 자체도 단체 뒤에 특정 세력이 존재한다는 가설에 힘을 실어준다.” APT 활동을 위한 인프라도 구비하고 있고, 표적 공격을 오랜 시간 할 수 있었다는 것도 정부에 준하는 조직의 후원이 있을 때에나 가능한 것이다.

또 하나 주목되는 건 석플라이가 대부분의 인증서를 한국의 기업들에서 훔쳐냈다는 사실이다. “인증서는 한국에서 훔치고 공격의 총구는 인도와 사우디아라비아로 돌렸더군요. 아직 이들이 공격을 통해 어떤 이득을 취했는지 알 수가 없지만, 조사가 진행됨에 따라 윤곽이 드러날 것입니다.” 아직 정확한 업체의 이름은 밝혀지지 않았다.

시만텍은 멀웨어에 대한 분석도 진행하고 있지만 인도의 경제 구조에서 가장 중요하다고 여겨지는 조직들을 광범위하게 타격한 것에 대해 주목하고 있다. “아직 공격의 동기는 밝혀지지 않았습니다만, 표적들이 인도 경제에서 가지는 가치가 대단히 커서 상상 이상의 타격이 있을지도 모르겠습니다.”

시만텍은 “인증서 관리가 얼마나 부실하게 이뤄지는지 또한 드러난 사건”이라고 분석하고 있다. “이제 사이버 보안이라는 것은 위험 요소를 막아서거나 내쫓는 것이 아니라 자산을 보호하는 것에 더 초점을 맞춰야 합니다. APT 단체들은 막강한 후원을 등에 업은 채 반드시 공격에 성공해 냅니다. 그러니 데이터 자체, 자산 자체의 보호에 더 집중하는 게 맞습니다. 여기에는 인증서도 포함이 되고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)