Home > 전체기사

얼마 전 출범한 오커스, 공동으로 이란의 해킹 행위 규탄해

  |  입력 : 2021-11-18 18:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국과 영국과 호주가 이란의 해킹 단체들이 자꾸만 해킹 공격을 시도한다고 발표했다. 특히 랜섬웨어와 와이퍼와 같은 파괴적인 멀웨어가 자주 사용된다고 하는데, 아직 공격자와 관련된 구체적인 이름까지 나오지는 않은 상황이다.

[보안뉴스 문가용 기자] 미국, 영국, 호주의 사이버 보안 담당 기관들이 이란의 해킹 그룹에 대한 경고를 공동으로 발표했다. 미국의 FBI와 CISA, 호주의 ACSC, 영국의 NCSC가 여기에 참여했고, “이란 해커들이 포티넷(Fortinet)의 포티OS(FortiOS)와 마이크로소프트 익스체인지(MS Exchange)에서 발견된 취약점을 익스플로잇 함으로써 비트락커(BitLocker)라는 랜섬웨어를 유포한다”는 내용이 발표문에 담겨 있다.

[이미지 = utoimage]


포티넷의 제품에서 발견된 취약점 3개는 3월 초부터 미국의 조직들을 겨냥한 공격에 악용되어 왔다. 마이크로소프트 익스체인지에서 발견된 취약점들 또한 미국과 호주의 조작들에 대한 공격의 통로가 되었다. MS 익스체인지의 취약점들은 프록시셸(ProxyShell)이라고 불린다. 올해 여러 차례 이슈가 되었던 문제인데, 여기에 이란 공격자들이 개입하기 시작했다는 게 세 나라의 입장이다.

“이란 정부의 지원을 받는 APT 단체들이 미국의 각종 단체와 시설들을 활발하게 공격하고 있습니다. 취약점 패치가 이뤄지기 전에 최대한 많은 침투 경로를 확보하는 게 이들의 목적으로 보이며, 경로 확보 후에는 랜섬웨어나 데이터 유출, 협박 등의 공격을 이어갈 수 있게 됩니다.” CISA와 FBI의 설명이다.

약 3주 전 이란 측은 미국과 이스라엘이 이란의 에너지 산업 및 공급 시스템을 침해해 연료 공급에 문제가 생겼다고 발표하며 두 나라를 비판했었다. 당시 이란 주민들은 연료를 제대로 구매하지 못해 주유소들 바깥으로 길게 줄을 늘어서기도 했다. 하지만 미국과 이스라엘은 자신들과 상관이 없는 일이라고 반박했다. 이번 발표로 이란과 미국은 공식적으로 서로를 해킹 범죄자라고 한 번씩 부르게 되었다.

보안 업체 스테어웰(Stairwell)의 CEO 마이크 위아섹(Mike Wiacek)은 “국가의 사이버전은 반드시 민간인들에게 피해를 줄 수밖에 없고, 그렇기 때문에 사이버전에 대한 방어는 민과 관이 협조해야만 한다”고 강조한다. “그 어떤 단체나 정부도 혼자서 사이버전을 감당할 수 없습니다. 끊임없이 치고 들어오는 위협들을 탐지해야 함은 물론, 탐지한 것들을 몰아내는 것까지도 감당해야 합니다. 그러려면 전체를 볼 수 있어야 하는데, 아무리 정부 기관이라고 해도 나라의 사이버 공간 전체에 대한 가시성을 혼자서 확보할 수는 없습니다.”

원래 이란의 사이버전 능력은 그리 대단치 않았었다. 하지만 최근 몇 년 사이 급속도로 발전해 왔다. 일부 보안 전문가들은 이란 해커들이 다크웹에서 북한의 해커들과 교류를 해가며 실력을 키워왔다고 주장하고 있기도 하다. 꼭 북한이 아니더라도 다크웹에서 해킹 노하우와 기술을 전수받는 건 매우 쉬운 일이다. 다크웹에서 활동하는 모든 사이버 범죄자들은 꾸준히 상향평준화 되고 있다. 이란의 사이버전 표적은 주로 미국, 이스라엘, 사우디아라비아다.

마이크로소프트에 따르면 이란 정부와 관련이 있는 공격 단체들은 랜섬웨어, 와이퍼 등의 멀웨어를 선호한다고 한다. 즉 피해자들이 직접적으로 피해를 입도록 하는 것이 이란 사이버전의 가장 큰 특징이라는 것이다. 최초 침투를 위해서 이란 공격자들이 주로 사용하는 기법은 소셜 엔지니어링, 크리덴셜 살포, 브루트포스 등으로 분석되고 있다.

이란과 미국은 현재 외교 무대에서나 사이버 공간에서나 격렬하게 부딪히는 중이다. 외교적으로는 ‘이란 핵 협상’ 재개를 위해 두 나라가 신경전을 벌이고 있으며, 사이버 공간에서는 오늘의 공동 발표와 3주 전 이란 정부 요원의 발표처럼 서로에게 각종 해킹 혐의를 씌우고 있는 중이다. 이란은 사이버전 능력을 계속해서 증대해 왔고, 미국은 ‘디펜드 포워드(Defend Forward)’라고 하는 정책을 통해 보다 능동적인 대처를 할 수 있게 되었다.

오늘 세 나라가 공동으로 한 발표는 이란에 대한 압박의 수위를 높이는 것을 목적으로 하고 있다. 하지만 기저에 깔린 메시지는 ‘이란, 우리가 너희를 지켜보고 있다’ 선으로 수위 조정을 했다. 공격 단체나 해커 개인, 관련 정부 부서의 이름이 하나도 나오지 않았기 때문이다. 미국이 특정 해킹 집단이나 해커를 정말로 노리고 있을 때는 사법부를 통해 실명을 공개하는 편이다.

3줄 요약
1. 이란 해커들이 미국과 호주의 사회 기반 시설 노린다는 미국, 영국, 호주.
2. 이란 해커들이 주로 사용하는 건 올해 이슈가 됐던 포티OS와 MS 익스체인지 취약점.
3. 하지만 1차적인 압박을 가하는 것이 목적이라는 듯 구체적인 이름은 하나도 나오지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)