구 동유럽 국가의 정부와 대사관 겨냥한 사이버스파이 활동 포착

by eknews posted Aug 12, 2014

단축키

Prev이전 문서

Next다음 문서

ESC닫기

구 동유럽 국가의 정부와 대사관 겨냥한 사이버스파이 활동 포착

조직적으로 다수의 구 동유럽 국가의 정부와 대사관을 겨냥해 ‘윕봇(Wipbot)’과 ‘툴라(Turla)’라는 멀웨어를 사용한 대규모 사이버스파이 활동이 포착되었다.

시만텍 발표에 의하면 공격단체는 사이버 정찰 활동을 위해 트로이목마 윕봇(Trojan.Wipbot, 또는 타브딕(Tavdig))을 백도어로 사용했으며, 이후 트로이목마 ‘툴라(Trojan.Turla)’를 이용해 장기간 모니터링을 해온 것으로 나타났다. 트로이목마 ‘툴라’는 우로보로스(Uroboros), 스네이크(Snake), 카본(Carbon)이라고도 불리고 있다.

분석에 따르면, 공격단체는 최소 4년 이상 사이버스파이 활동을 해온 것으로 보이며, 타깃 대상과 고난도의 멀웨어가 사용된 점을 미루어 볼 때 시만텍은 이번 공격의 배후에 국가 차원에서 후원을 받는 조직이 있는 것으로 보여진다고 밝혔다.

‘툴라’는 공격자에게 강력한 스파이 기능을 제공하며, 컴퓨터를 시작할 때마다 실행되도록 설정되어 있어 사용자가 웹브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다. 이 백도어를 통해서 공격자는 감염 시스템으로부터 파일 복사, 서버 접속, 파일 삭제 및 다양한 형태의 악성코드를 탑재하고 실행이 가능하다.

‘툴라’의 배후에 있는 단체는 스피어피싱(spear phishing) 이메일과 워터링홀(watering hole) 공격 기법을 이용해 피해자를 감염시키 이중 공격 전략을 취하고 있는 것으로 나타났다.

초기에는 감염 피해가 유럽 국가들에서 확산된 것으로 보였으나, 보다 면밀한 분석 결과 서유럽의 많은 감염이 구 동유럽 국가들의 민간 정부 네트워크에 연결된 컴퓨터들에서 발생한 것으로 밝혀졌다. 감염은 이 국가들의 대사관을 통해 발생한 것으로 나타났다.

감염을 분석한 결과, 공격단체들은 소수의 국가에 집중 공격을 펼쳤다. 실제로 2012년 5월, 구소련 회원 국가의 국무총리실이 감염된 후, 빠르게 번져 총리실 내 최대 60대의 컴퓨터가 감염되었다.

2012년 말, 프랑스에 있는 또 다른 구 소련 회원국의 대사관이 감염되었다. 2013년에는 감염이 해당 국가의 외무부 네트워크에 연결된 다른 컴퓨터로 확산되기 시작했으며, 내무부에서도 감염이 발생했다. 추가 조사를 통해 외교부를 타깃으로 한 조직적인 스파이 활동이 드러났다. 감염은 벨기에와 우크라이나, 중국, 요르단, 그리스, 카자흐스탄, 아르메니아, 폴란드, 독일 대사관에서 발견되었다.

그 외 역내 최소 5개국이 유사 공격의 표적이 되었다. 공격단체들은 대체적으로 동유럽 국가들을 집중 공격했지만 그 외 지역에도 여러 타깃들이 존재했다. 서유럽 국가의 보건복지부를 비롯해 중앙아메리카의 교육부, 중동지역의 전력당국(state electrical authority)과 미국의 한 의료 기관도 포함되어 있다.

유로저널 김세호 기자

eurojournal01@eknews.net

Articles

1 2 3 4 5 6 7 8 9 10

나눔글꼴 설치 안내

이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

✔ 설치 취소