[보안뉴스 문정후 기자] 국제 공조 작전으로 원래는 사이버 보안 전문가들을 위해 만들어진 도구인 것을 공격자들이 자꾸만 악용하지 못하도록 만들었다. 영구적인 조치는 아니지만, 공격자들 입장에서도 상당히 성가신 상황이 발생했다고 볼 수 있다.
[이미지 = gettyimagesbank]
문제의 해킹 도구는 코발트스트라이크(Cobalt Strike)다. 레드팀 훈련을 위해 포트라(Fortra) 사에서 개발한 솔루션이다. 하지만 모의 해킹이 아니라 진짜 해킹에 동원되는 일이 최근 몇 년 동안 잦아졌고, 그 흐름은 심지어 고착화 되는 중이다. 공격자들은 코발트스트라이크의 구버전을 크래킹해서 라이선스를 구매할 필요가 없게 만든 후, 이것을 가지고 실제 공격에 활용한다. 이에 유로폴이 움직였다.
유로폴이 직접 공개한 바에 따르면 6월 24~28일 사이에 여러 나라의 사법기관들은 물론 민간 전문 업체들까지도 참여하여 공격자들이 사용하는 코발트스트라이크를 상당 수 무력화시키는 데 성공했다고 한다. “코발트스트라이크의 크랙 버전들을 공격에 활용하려면 공격자들은 먼저 이 공격 도구를 서버에 호스팅 해두어야 합니다. 저희는 민간 기업들의 협조를 받아 수상한 서버들의 IP 주소들을 파악했고, 결국 라이선스를 받지 못한 코발트스트라이크들을 찾아내 처리했습니다.”
처음 유로폴을 비롯해 공조에 참여한 사법기관들이 찾아낸 수상한 IP 주소들은 총 690개였다. 27개국에 있었고, 각종 수상한 활동들에 연루되어 있었다. 이들 모두를 하나하나 조사해 범죄 단체와의 연관성을 파악했으며, 결국 593개의 서버를 폐쇄시키는 데 성공했다고 유로폴은 밝혔다.
이 작전의 이름은 ‘모피우스 작전(Operation Morpheus)’이었고, 영국의 국가범죄청이 주도하고 호주, 캐나다, 독일, 네덜란드, 폴란드, 미국이 참여했다. 그 외에 불가리아, 에스토니아, 핀란드, 리투아니아, 일본, 한국에서도 협력했다고 한다. 유로폴은 중간에서 사법 활동들을 조율했을 뿐만 아니라 민간 업체와 기관 사이에서 가교 역할을 맡기도 했다. 참고로 모피우스 작전은 2021년부터 진행되어 왔다. 오랜 시간 끝에 맺은 결실이라고 할 수 있다.
사이버 범죄자들의 해킹 도구 남용
코발트스트라이크는 인기 높은 사이버 보안 도구 중 하나다. 모의 해킹 도구로 레드팀을 위해 개발됐다고 포트라는 설명한다. 레드팀들은 사용자들의 보안 체계나 사건 대응 방식에서 약점을 찾아내기 위해 코발트스트라이크를 사용한다. 그 말은 레드팀이 아닌 공격자들 역시 피해자의 보안 체계와 사건 대응 방식에서의 약점을 찾는 데 코발트스트라이크를 사용할 수 있다는 뜻이 된다. 실제 류크(Ryuk), 트릭봇(TrickBot), 콘티(Conti)와 같은 멀웨어들이 코발트스트라이크와 연계되어 사용되어 오기도 했었다.
코발트스트라이크의 개발사인 포트라 역시 이러한 상황을 인지하고 공격자들의 악용을 막기 위해 여러 가지 방안을 마련해 왔다. 그리고 이번 모피우스 작전에도 참여해 사법 기관들을 도왔다. 무엇보다 라이선스 비용을 내고 정상적인 목적으로 코발트스트라이크를 사용하는 고객들을 구분해 내는 데에 포트라가 역할을 담당했다고 유로폴은 설명한다.
민관의 협력
모피우스 작전에서 가장 중요했던 건 민관의 협조였다고 유로폴은 힘주어 말했다. 이번 작전에 참여한 민간 기업들은 BAE시스템즈(BAE Systems), 트렐릭스(Trellix), 스팸하우스(Spamhaus), 어뷰즈(abuse.ch), 셰도우서버재단(The Shadowserver Foundation)이었다. 이들 모두 민간의 기술들을 동원해 사법 기관들이 더 정확하고 광범위하게 스캔하고, 분석하고, 정보를 수집하도록 했다. 특히 악성 활동을 잡아내고, 추적해 IP 주소에까지 이르게 하는 데 톡톡한 역할을 담당한 것으로 알려져 있다.
“유로폴은 유럽연합 회원국들을 보다 원활히 지원하고자 민관 협조와 관련된 규정을 수정한 바 있습니다. 그래서 사이버 공격자들과 범죄자들의 활동에 대해 더 많은 첩보를 입수하게 됐고, 해킹 범죄에 대한 보다 깊은 통찰력을 얻어갈 수 있었습니다. 대응력도 더 좋아지고 있고요. 덕분에 유럽 사이버 공간 전체가 더 나은 복구력을 가지게 됐습니다.”
뿐만 아니라 유로폴은 정보 공유를 위한 플랫폼을 운영하고 있기도 하다. 멀웨어 정보 공유 플랫폼(Malware Information Sharing Platform)이라고 불리는 이 곳을 통해 민간 기업들이 실시간으로 위협 첩보를 나눌 수 있게 된다. 이번 모피우스 작전의 경우, 작전이 진행되는 시간 동안 민간 기업들은 멀웨어 정보 공유 플랫폼을 통해 730건 이상의 위협 첩보를 사법 기관들에 제공했다고 한다. 침해지표만 120만 건이 넘는다. 또한 유로폴은 모피우스 작전의 성공을 위해 사법기관과 민간 기업들이 한 자리에 모일 수 있도록 크고 작은 회의를 40회 이상 주최했다고 밝혔다.
“이번 사건으로 공격자들이 영영 코발트스트라이크를 나쁜 목적으로 사용하지 못하게 된 것은 아닙니다. 앞으로도 공격자들의 악용은 이어질 겁니다. 하지만 당분간은 예전처럼 편리하게 사용하지 못하겠죠. 크랙 버전을 새롭게 만들거나 구하는 등의 작업을 추가로 해야만 공격을 이어갈 수 있을 겁니다. 아니면 대체품을 찾거나요. 그런 수고를 가중시키고 또 가중시키는 것만으로도 저희의 활동은 의미를 갖습니다.”
3줄 요약
1. 여러 사법기관들이 공조하여 코발트스트라이크가 호스팅된 악성 서버 수백 개 폐쇄.
2. 27개국에 있었던 악성 서버들 대부분이 현재 무력화됨.
3. 이번 작전의 핵심은 민관의 협조.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>