[보안뉴스 문가용 기자] 새로운 공격 단체가 중동의 통신사 하나와, 중동 및 아프리카 지역의 여러 인터넷 공급 업체와 대학 기관들을 감염시켰다. 이 단체는 여태까지 발견된 적이 없던 그룹으로 보이며, 대단히 복잡한 멀웨어 두 개와 관련이 있는 것으로 조사되고 있다. 처음 발견된 공격 그룹의 출현에 보안 업계가 관심을 보이는 중이다.
[이미지 = utoimage]
이 그룹을 제일 먼저 발견한 건 보안 업체 센티넬원(SentinelOne)이다. 센티넬원은 여기에 메타도르(Metador)라는 이름을 붙였다. 악성 코드에 ‘나는 메타다(I am meta)’라는 문구가 있고, 여러 서버 메시지들이 스페인어로 되어 있기 때문이다. 최소 2020년 12월부터 활동을 시작한 것으로 보이지만 현재까지 한 번도 들킨 적이 없다. 센티넬원의 수석 국장인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 “다른 보안 업체나 정부 기관들과 정부를 공유했지만 그 누구도 이 새 그룹을 본적이 없었다”고 설명한다.
게레로사드와 센티넬원의 또 다른 전문가인 아미타이 벤 슈샨 엘리흐(Amitai Ben Shushan Ehrlich), 그리고 알렉산더 밀렌코스키(Aleksandar Milenkoski)는 메타도르와 관련이 깊은 두 가지 멀웨어에 대한 세부적인 내용을 자사 블로그를 통해 공개했다. 보다 정확히 말하면 멀웨어 ‘플랫폼’이고, 이름은 메타메인(metaMain)과 마팔다(Mafalda)이다. 이 기술 정보를 공개한 이유는 메타메인과 마팔다에 감염된 피해자들을 더 찾아내기 위해서다. 과거 피해 사건에 대한 조사만 진행했지, 현재에는 이 두 멀웨어 플랫폼이 어디에서 어떤 활동을 하고 있는지 알 수 없기 때문이다.
먼저 메타메인은 일종의 백도어다. 마우스의 움직임과 키보드로 입력되는 정보를 로깅할 수 있으며, 스크린샷 캡쳐와 데이터/파일 유출도 가능하다. 그리고 마팔다를 설치하는 기능도 가지고 있다. 마팔다는 모듈 구성의 프레임워크로 피해자의 시스템과 네트워크 정보를 모으는 등의 기능을 가지고 있다. 모듈 구성이기 때문에 공격자가 자유롭게 기능을 추가할 수 있다. 메타메인과 마팔다 모두 메모리 내에서만 작동하고, 하드드라이브에는 아무 흔적도 남기지 않는다.
메타도르는 각 피해자들마다 고유의 IP 주소들을 배정한다는 독특한 특징도 가지고 있다. 그렇기 때문에 C&C 서버 하나가 발각된다 하더라도 공격 인프라의 다른 부분들은 여전히 작동한다. 게다가 발견된 C&C 서버를 통해 다른 피해자들까지 같이 드러나는 사태를 막을 수 있다. 보안 전문가들이 공격 단체를 추적하다가 악성 서버를 발견하고, 거기서부터 여러 피해자들을 알아내는 건 흔히 있는 일이다. 이를 통해 보안 업계는 공격 단체의 활동 범위 등을 파악할 수 있게 된다. 다시 말해 메타도르의 이러한 특징은 분석가들이 공격의 전체적인 상황을 파악할 수 없게 만들기도 한다.
피해자들끼리는 서로 섞이지 않게 했으면서 메타도르는 다른 공격 단체들과는 잘 섞여드는 편이다. 메타도르의 피해자 중 하나였던 중동 통신사의 경우, 이미 10개 이상의 국가 지원 해킹 단체들의 침해를 받은 적이 있었던 곳이었다. 주로 중국이나 이란의 정부와 관련이 있는 단체들이었다고 센티넬원 측은 밝혔다.
한 조직에 여러 공격 단체들이 몰리는 경우는 사이버 공격 및 해킹 세계에서 종종 나타난다. 이럴 때 공격자들은 먼저 왔다 간 다른 공격 단체의 흔적을 지우는 데에 시간을 아낌없이 할애한다. 이 과정을 얼마나 꼼꼼하게 진행하냐면, 다른 공격자들이 익스플로잇 한 취약점을 찾아서 패치하기까지 한다. 자신들의 공격 행위가 누군가에게 드러나는 걸 극도로 꺼리기에 나오는 행동이라고 볼 수 있다.
하지만 10번 이상이나 이미 공격을 당한 통신사를 다시 공격한 걸 보면 메타도르는 다른 공격자들에 대해 크게 신경 쓰지 않는 것으로 보인다고 센티넬원 측은 설명한다. “물론 공격을 당한 그 회사가 모든 것을 감수할 만큼 가치가 높은 표적이었을 수도 있습니다. 정확한 건 메타도르를 더 추적해 봐야 알겠지요.”
한편 위에 언급된 2개의 멀웨어를 보면 메타도르가 굉장히 든든한 배경을 가지고 있다는 걸 알 수 있다고 센티넬원은 말한다. “멀웨어는 기술적으로도 상당한 수준에 있고, 심지어 계속 개발 중에 있기도 합니다. 이런 멀웨어를 뚜렷한 소득이 남지 않는 공격에 활용하고 또 개발까지 이어간다는 건 누군가 뒤를 봐주고 있다는 뜻일 가능성이 높습니다. 다만 그것이 정부 기관인지 아닌지는 아직 확실히 말하기가 힘든 단계입니다.”
발견만 됐을 뿐 뭔가 결론을 내릴 만큼 관련 정보가 확실히 나온 게 없는 상황에서 메타도르라는 단체를 찾아냈다는 것에는 어떤 의미가 있을까? “이번 발견은 마치 해변가에서 상어 지느러미를 발견한 것과 같다고 생각합니다. 아직 그 밑에 있는 상어가 어떤 모습일지, 얼마나 큰 이빨을 가졌으며, 어떤 걸 주로 먹는지, 아무 것도 모릅니다. 다만 얼른 도망쳐야 할 정도로 위험한 것이 다가오고 있다는 것만 알 뿐이죠. 저희는 그 지느러미 쪽으로 손가락질을 해서 시선을 모았고, 이제 모두가 각자의 위치에서 이 위협을 관찰해 알아낸 것들을 서로에게 공유하는 일이 남았습니다.”
3줄 요약
1. 새로운 해킹 단체인 메타도르, 수면 위로 모습을 살짝 드러냄.
2. 복잡한 고급 멀웨어 두 개를 활용하는 것으로 보임.
3. 그렇게 많은 흔적을 남기고 있지 않아서 수수께끼 투성인 단체.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>