뉴스 보안
파이어아이, 美 민주당 해킹그룹 분석보고서 발표 "국내정치 영향 미치려는 정보전"러시아 유리한 정보전 성향...앞으로 각국 대상 공격 지속될 것 경고
남일희 기자  |  sun@cdnews.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.01.31  09:35:52
트위터 페이스북 미투데이 싸이월드 공감 네이버 구글 msn
첨부파일 : 파이어아이_APT28보고서_20170131.pdf (1813575 Byte)
 
 
 

[통신일보 = 남일희 기자]   러시아 기반 美 민주당 해킹그룹 'APT28'이 특정 국가의 국내 정치에 영향을 미치려는 정보전 성격을 띠고 있다는 분석보고서가 발표됐다.

파이어아이(지사장 전수홍, fireeye.kr)는 미국 민주당 해킹 사건의 주범으로 지목되고 있는 러시아 기반 사이버 위협 그룹 ‘APT28’에 대한 보고서를 발표했다. 2014년에 이어 두 번째로 발간된 해당 보고서에서 파이어아이는 APT28의 사이버 위협 행위가 러시아에 정치적으로 유리한 결과를 가져다 주는 정보전 성향을 띠고 있으며, 앞으로 각국을 대상으로 한 이러한 공격을 지속할 것이라고 경고했다.
 

 
 
 

파이어아이는 지난 2014년에 APT28 관련 보고서를 발표하며, 러시아 정부가 해당 그룹의 사이버 위협 활동을 통해 전략적으로 정보를 수집한다고 추정한 바 있는데, 특히 APT28은 유럽과 동유럽 국가들의 정부 및 군사 기관을 비롯하여, NATO(북대서양조약기구), OSCE(유럽안보협력기구) 등 지역 안보 조직도 타깃 한다. 파이어아이는 2016년 유럽안보협력기구(OSCE) 해킹과 독일 기독교 민주 동맹(CDU)으로의 피싱 이메일 공격 그리고 2015년 NATO 대상 제로데이 취약점 공격 등의 사례에서 이 같은 경향이 나타난다고 밝혔다.

파이어아이는 2014년 이후 APT28의 전술이 변화했다며, 러시아 외 국가들의 국내 정치에 영향을 미치려는 정보전(information operation)적인 성격을 띤다고 설명했다. APT28은 러시아 정부에 유리한 정치적 상황을 만들기 위해 타깃 네트워크에 침투하여 전략적으로 데이터를 유출하는 방법으로 전술을 변화시켰는데, 세계반도핑기구(WADA) 해킹, 미국 민주당 해킹 등이 대표적인 사례라고 주장했다.

특히 세계반도핑기구 해킹 사례는 러시아가 자국에 불리한 사건에 대응하기 위해 어떤 식으로 사이버 공격을 이용하는지 잘 보여준다. 지난해 7월 세계반도핑기구가 러시아 선수들의 도핑 증거를 발표함에 따라, 118명의 러시아 선수들이 올림픽 팀에서 제외됐다. 그러자 APT28은 스피어 피싱 메일을 통해 계정을 탈취하여 세계반도핑기구의 ADAMS 데이터 베이스에 접근한 뒤, DB내 선수들의 의료 데이터를 유출했다. 이후 ‘팬시 베어(Fancy Bear)’라는 해킹팀은 트위터를 통해 치료 목적으로 금지 약물을 신청한 미국 등 여러 나라 선수들의 의료 파일을 공개하며, 약물에 대한 치료목적사용면책(TUE: Therapeutic Use Exemptions)에 대해서 도핑면허라고 비난했다.

파이어아이는 러시아 정부에 정치적으로 유리한 결과를 가져다 주는 APT28의 정보 작전은 인터넷의 출현과 함께 계속해서 발전되고 있다고 전했다. 이어, 작년 미국 민주당 해킹은 그저 하나의 사례에 지나지 않으며 앞으로 각국의 정치 동향에 영향을 미치기 위해 사이버 공격을 시도할 것이라고 경고했다.

전수홍 파이어아이코리아 지사장은 "APT28그룹과 같이 정치적인 영향력을 행사하는 사이버 공격은 특히 한국과 같은 민주주의 국가에 더 큰 위협이 될 수 있다"면서 "점점 지능화되는 사이버 공격을 방어하기 위한 정부, 정당 그리고 관련 기관들의 보안 노력이 절실하다"고 말했다.


[참고자료]

APT28의 툴셋

파이어아이는 APT28가 이용한 툴셋을 분석한 결과, 해당 그룹이 러시아 정부의 지원을 받는다는 증거를 포착했다. 또한, 사이버 공격의 지속성을 높이고자 전문 인력을 포함한 여러 자원이 동원됐음을 밝혔다. APT28 툴셋은 공격 툴을 지속적으로 발전시키기 위해 변경이 용이한 모듈식 구조를 이용했고, 공식적인 코딩 환경에서 툴을 개발했다. 뿐만 아니라 사이버 공격에 대한 수사 기관의 조사 여부를 확인하거나 이를 지연시키기 위해, 불필요한 기계 명령어를 포함하는 등 역분석 역량을 추가했다. 러시아 정부와의 관련성은 악성코드 샘플에서 입증된다. 악성코드 샘플 중 88%가 주요 러시아 도시의 일과 시간대에 컴파일 됐으며, 2013년까지 악성코드가 러시아어 기반으로 개발됐다.

2014년 이후 APT28 작전 상의 변화

APT28은 2014년 이후 일반 대중의 시선과 사이버 공격에 대한 수사망에서 벗어나기 위해 툴킷을 계속 발전시켰다. 2014년 이후 해당 그룹은 어도비 플래시 플레이어, 자바, 윈도우 시스템의 제로데이 취약점을 이용하기 시작했으며, 추적을 피하기 위한 노력도 계속됐다. 프로파일링을 시도하는 수사관 혹은 외부의 접근을 최소화하였고, 특정 코드 이용 시 추적 가능성을 방지하고자 파워셸 엠파이어(PowerShell Empire), 메타스플로잇(Metasploit) 등의 공개 코드 저장소를 자주 이용했다. 또한, 이중 인증 및 기타 보안 조치들을 우회하도록 구글 앱 인증과 표준 인증 방식인 오쓰(oauth) 접근을 위조하여 크리덴셜을 획득했다. 마찬가지로 탐지를 피해 타깃 시스템에 지속적으로 접근하기 위해 합법적인 툴만을 이용해 네트워크 내부로 침투했다. 이 같은 변화에는 사이버 공격의 효과를 높임과 동시에 보안 조치들을 우회하고, 수사망을 피하는 등 사이버 공격을 지속하고자 하는 해킹 그룹의 의도가 반영됐다고 볼 수 있다.

APT28의 전술

파이어아이는 타깃 시스템에 침투하기 위해 APT28의 이용하는 전술은 크게 네 가지가 있다고 밝혔다. 이는 ▲스피어 피싱을 통해 익스플로잇 문서 혹은 악성 URL을 유포해 타깃의 시스템을 감염시키거나 ▲ 스피어 피싱을 통해 웹메일을 가장한 악성 URL을 유포해 타깃의 이메일 계정을 탈취하거나 ▲워터링 홀 기법으로 합법적인 웹사이트에 악성코드를 심어놓거나 ▲웹 페이싱 서버(web facing server)를 감염시켜 타깃 조직에 접근 권한을 얻는 등의 전술을 포함한다.


[통신일보 = 남일희 기자 / sun@cdnews.co.kr]

     관련기사
· 케이블TV VOD, 온라인 영화제 '마이 프렌치 필름 페스티벌’ 단독 참여
· 인터넷진흥원, 정보보호 3대 핵심직무 고용부 NCS 개발 참여
· KISA, 야후 개인정보 유출 사고 관련 사용자 주의 당부
· 지엔케이홀딩스, 中 정저우서 '韓中 O2O 마케팅 협약 체결'
· KISA, 민간분야 사이버공격 대비 공동모의훈련
남일희 기자의 다른기사 보기  
기사제보 및 보도자료[news@cdnews.co.kr]
저작권자 ⓒ통신일보 | 무단전재 및 재배포금지 | 저작권 문의

알면 돈되는 새 제도
통신일보 2030뉴스 사이트맵
  • 쇼핑
    IT·생활가전
    웰빙·뷰티
    생활·사무용품
통신제국 | 회사소개기사제보제휴문의이용약관개인정보취급방침청소년보호정책이메일무단수집거부
제호 통신일보 · 발행인-편집인 이영림 · 등록번호 서울-아00840 · 등록-발행일 2009년 4월 17일 · 본사 서울특별시 서대문구 북아현로 25길 5, 501호
취재본부 경기도 과천시 별양상가1로 18, 과천오피스텔 916호 · 대표전화 02-3447-6100 · 사업자:123-22-49273 · 청소년보호책임자 남일희
통신일보의 모든 기사와 컨텐츠는 저작권법의 보호를 받습니다. 무단 전제, 복사, 배포 등을 금지합니다.
통신제국 Copyright All rights reserved.