보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

러시아의 APT 윈터비번, 유럽 정부와 군 시설 노려 오랜 기간 정보 수집

입력 : 2024-02-19 21:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
러시아의 APT인 윈터비번이 러시아 정부가 지정학적으로 유리한 고지를 선점할 수 있게 여러 조직들을 공략해 정보를 빼돌려 왔다는 사실이 드러났다. 물리 공간에서의 전쟁은 다소 침체 상황이었지만 사이버 공간은 항상 치열했다.

[보안뉴스 문가용 기자] 러시아 정부와 관련이 있어 보이는 해킹 그룹인 윈터비번(Winter Vivern)이 라운드큐브(Roundcube)라는 웹메일 서버의 XSS 취약점을 익스플로잇 하고 있었다는 사실이 드러났다. 공격이 발생했던 건 10월의 일이고, 피해 지역은 유럽 전체였다. 뒤늦게야 피해자들이 하나 둘 나타나고 있는 것이다.

[이미지 = gettyimagesbank]


윈터비번은 정부와 군 기관들을 비롯해 사회 기간 시설을 주로 노리는 단체다. 현재까지 조지아, 폴란드, 우크라이나가 이들의 주요 표적이었다고 보안 업체 레코디드퓨처(Recorded Future)는 밝혔다. 하지만 지난 10월의 캠페인에서는 모스크바 주재 이란 대사관과 네덜란드 주재 이란 대사관, 스웨덴 주재 조지아 대사관도 공격 표적이 됐다고 한다.

고도화된 소셜 엔지니어링 공격 기법을 활용하는 윈터비번이지만 이번에 발견된 캠페인에서 만큼은 제로데이 취약점을 익스플로잇 함으로써 최초 침투에 성공했다. 교통, 교육, 화학, 생물 연구 기관 등 다양한 조직 80개 이상에 쳐들어가는 데 성공한 것으로 집계되고 있다. 유럽의 정치 및 군사 관련 동향을 알아보려고 실시한 공격으로 파악되고 있다. 이들은 벨라루스와 러시아 정부가 유리할 수 있도록 공격의 방향성을 잡는 것으로 의심되며, 최소 2020년 12월부터 활동을 시작한 것으로 알려져 있다.

윈터비번의 지정학적 동기
10월의 공격 캠페인은 이전에 윈터비번이 우즈베키스탄 정부 메일 서버를 노렸던 것과 관련이 있다. 우즈베키스탄 정부 메일 침해 사건은 2023년 2월에 발생한 일이다. 그 캠페인에서 우크라이나 등으로 자연스럽게 공격 표적을 확장시킨 것으로 조사되고 있다. “전쟁 상대 국가인 우크라이나 정부의 이메일 내용이 궁금했던 건 당연한 것입니다. 우즈베키스탄을 공격했던 것을 그대로 우크라이나에 적용한 것이죠. 그리고 우크라이나를 넘어 다른 유럽 국가들과 유럽 내 외교 시설까지 공략한 것이고요.”

그렇다면 친화적인 국가인 이란은 왜 공략한 것일까? 이란은 러시아를 지원하고 있긴 하지만, 국내 사정과 다른 나라와의 관계가 불안정하기 때문에 러시아로서도 모니터링 할 수밖에 없었을 것으로 추측된다. 급변하는 나라이기 때문에 변수 차단 혹은 최소화를 위해 친한 국가라도 관찰할 수밖에 없었다는 것이다. 실제로 외교 무대에서 우방 국가라도 감시하는 일은 빈번하다.

조지아의 경우 러시아와 친했던 국가이지만 최근 유럽연합과 NATO 쪽으로 붙으려는 움직임이 활발해지고 있기 때문에 러시아로서 감시가 필요했을 것으로 보인다. 핀란드와 스웨덴이 러시아의 우크라이나 침공 이후 곧바로 NATO에 가입한 것처럼 조지아도 그 일을 계기로 NATO 가입에의 방향으로 나아가는 중이다.

그 외에도 윈터비번은 유통과 운송 산업 내 조직들도 적극 공략했다. 이 역시 우크라이나와 전쟁과 관련하여 어떤 물자가 어떤 경로로 얼마나 이동하는지를 알고 싶어 했던 것으로 분석된다. 또한 전쟁 중 어느 부분을 공략해야 우크라이나 군이 치명적인 피해를 입는지도 파악하려 했던 것으로 보인다.

정찰을 위한 해킹 공격, 방어가 어려워
최근 사이버 정찰을 목적으로 한 해킹 공격의 빈도와 수위가 계속해서 오르고 있다. 이번 달 초 한 러시아의 APT 조직은 우크라이나 군을 겨냥해 파워셸 공격을 감행했다. 또 다른 APT 조직인 털라(Turla)의 경우 비슷한 시기에 폴란드의 NGO들에 침투해 새 백도어를 심은 바 있다. 우크라이나도 러시아를 겨냥해 정찰 캠페인을 실시하고 있으며, 이 과정에서 모스크바의 인터넷 회사가 당하기도 했다.

레코디드퓨처는 보고서를 통해 “정찰을 목적으로 한 사이버 캠페인은 첫 발견이 매우 어렵다”고 강조하며, “특히 제로데이 취약점을 통해 침투한 경우에는 더 그렇다”고 밝힌다. 그도 그럴 것이 정찰을 목적으로 한 공격자들은 최대한 오랜 기간 들키지 않고 정보를 빼돌리는 것을 목적으로 삼고 있기 때문에 공격자들은 온 힘을 다해 은밀하게 움직이며, 제로데이 취약점은 애초부터 존재 자체가 알려지지 않은 것이므로 보이지 않는 게 정상이다.

그렇다면 이러한 공격에 어떤 식으로 대처해야 할까? 탐지를 통해 차단하려는 생각은 비효율적이다. 레코디드퓨처는 “이메일을 비롯해 여러 정보가 오가야 하는 통신 채널을 사용할 때 암호화 기술을 적극 적용하는 게 좋다”고 권고한다. “정보의 내용이 암호화 된 채로 교환될 수 있게 해야 합니다. 그래야 정보가 새나가도 공격자들이 원하는 바를 달성할 수 없게 됩니다. 서버와 소프트웨어를 항상 최신화 하는 것도 중요합니다. 이메일을 열 땐 항상 출처를 확인해야 하고요.”

애초에 이메일 함에 저장되는 정보의 양을 최소화 하는 것도 중요하다. 정보가 한없이 저장되도록 설정하면 사용할 때 편리할지 몰라도 해킹 공격에 매우 취약해진다.

3줄 요약
1. 러시아의 APT 윈터비번, 지난 10월부터 유럽 여러 국가와 기관들을 공격.
2. 주로 소셜엔지니어링 활용했지만 이번에는 라운드큐브라는 웹메일 서버의 제로데이 취약점 공략.
3. 러시아의 정치와 외교, 전쟁에 유리한 정보들을 주로 수집.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)