미 백악관 소속 경제자문위는 16일 러시아 중국 북한 이란 등의 해커로부터 미 정부부처나 기업들이 2016년에 당한 경제적 피해는 570억달러에서 1천9억달러에 이른다고 밝혔다. 도대체 어떤 해커그룹들이 미국을 상대로 그만한 피해를 입히고 있을까? 우선 그동안 너무나 자주 들었던 팬시 베어(Fancy Bear)를 들 수 있다.
러시아 출신으로 해커그룹으로 ‘APT28’ 또는 ‘소파시(Sofacy)’로 알려져 있다. 특히 서방 보안전문가들은 패시 베어 배후에는 러시아 군사정보기관 GRU가 있는 것으로 추정한다. 보안 전문가들이 2018년 가장 주목해야 할 해킹그룹으로 '팬시 베어'를 꼽을 정도로 유명하다.
러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)의 수석 연구자 브라이언 바르톨로메오는 "팬시 베어는 자체적으로 수립한 정책에 근거해 사이버 공격을 펼치며, NATO와 관련된 모든 사안에 관심을 보인다"며 "가장 최근의 관심사는 평창동계올림픽"이라고 주장했다.
주로 하는 공격 유형은 스피어 피싱이다. 일단 팬시 베어는 여러 개의 하위 그룹으로 나눠져 목표를 공격하는데, 그 중 하나는 대상을 가리지 않고 파상 공격을 펼친다. 이 그룹이 일단 피싱에 성공하면, 다음 하위 그룹이 공격을 진행시키기 위해 툴셋을 활용하기 시작한다.
보안업체 이셋(ESET)의 보안 첩보 팀장인 알렉시스 두레이스-존카스(Alexis Dorais-Joncas)는 "팬시 베어의 툴킷은 계속해서 진화하는데, 그 핵심에는 ‘엑스에이전트(XAgent)’라고 불리는 백도어가 있다"고 지적했다. 팬시 베어는 지금까지 자신들에 대한 혐의가 숱하게 제기되고 있음에도 전혀 개의치 않고 공격을 계속한다는 게 무서운 점이라고 전문가들은 말한다.
팬시 베어의 APT28을 딴 APT29. 러시아 쪽 해커그룹으로 추정되지만, 동유럽 출신이라는 이야기도 있다. 코지 베어(Cozy Bear), 코지 듀크(CozyDuke) 등의 가명을 쓰는데 주로 서유럽 정부 및 외교 정책 부처, 그 유사 조직과 시민단체(NGO) 등을 주요 타깃을 삼는다.
APT29는 명령 및 제어(C&C) 통신을 위해 사전에 침해한 서버만을 사용하며, 자체적인 백도어를 통해 버그를 수정하고 새로운 기능을 추가한다. 또 트위터와 깃허브(GitHub) 같은 소셜 미디어 플랫폼과 클라우드 스토리지 서비스를 활용해 명령을 전달하고 침투한 네트워크으로부터 데이터를 전송받기도 한다.
동유럽 출신으로는 털라 해커그룹이 있다. 스네이크(Snake), 베노머스 베어(Venomous Bear), 워터버그(Waterbug) 등으로 불리는데, 카자흐스탄이나 투르크메니스탄 같은 구소련 국가들, 모스크바에 있는 각국 대사관들을 노린다. 또 동유럽의 외교관들, 세계 각국의 영사관 등을 공격하기도 한다.
털라는 타깃에게 '멀웨어'를 깔게 하는 수법을 쓴다. 또 워터링홀(watering hole) 공격 수법을 쓰기도 한다. 털라는 꽤 오랜 기간 존재해온 해킹 그룹이지만 숨죽이고 있다가 2017년에 들어서야 활동량을 높이기 시작했다고 한다.
또다른 동유럽 해커 그룹으로는 샌드웜이 있다. 블랙에너지(BlackEnergy), 일렉트럼(Electrum), 이리디움(Iridium) 등의 가명을 사용되며, 주요 타깃은 우크라이나다. 샌드웜은 공격 시 모습을 드러냈다가 재빨리 사라지는 것으로 유명하다. 스피어 피싱을 주로 사용하며, 최근에는 타깃 기반을 확장하려는 차원에서 공급 네트워크를 노리기 시작했다. 2015, 2016년 12월에 일어난 우크라이나 전력망 공격이 이들의 작품으로 알려졌다.
저작권자 © 바이러시아21 무단전재 및 재배포 금지
