보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

메타, 8개 스파이웨어 기업들과 3개 가짜뉴스 네트워크 폐쇄시켜

입력 : 2024-02-21 20:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
소셜미디어가 점점 정글처럼 변하고 있어 기업들이 난리다. 일단 안전한 구역으로 정비시켜 놓아야 사람들을 끌어당길 수 있기 때문이다. 그래서 메타의 경우 공격적으로 움직여 청소를 시작했다.

[보안뉴스=네이트 넬슨 IT 칼럼니스트] 메타(Meta)가 여섯 개의 스파이웨어 네트워크를 발견해 무력화시켰다. 이 스파이웨어는 8개의 기업들과 연루되어 있었다 이탈리아, 스페인, UAE, 중국, 미얀마, 우크라이나의 기업들이었다. 이러한 사실은 메타의 ‘2023 4사분기 위협 보고서’를 통해 공개됐다. 스파이웨어 산업에 대한 압박이 조금씩 거세지는 분위기다.

[이미지 = gettyimagesbank]


이미 수년 전부터 소셜미디어는 너무나 위험한 공간이 되어버렸다. 가짜뉴스가 조직적으로 퍼지는 곳이기도 하며, 표적을 어르고 달래기 위해 가짜 소셜미디어 페르소나를 만들어 접근하는 전략은 이미 오래 전부터 존재했었다. 이제는 여기서 피해자들을 속여 강력한 스파이웨어를 심는 수법마저 횡행하고 있다.

보안 업체 짐페리움(Zimperium)의 부회장인 컨 스미스(Kern Smith)는 “멀웨어와 피싱 공격이 지난 한 해 드라마틱하게 증가했는데, 특히 모바일 플랫폼을 겨냥한 공격들이 어마어마한 증가세를 보이고 있다”고 경고한다. “공격자들은 일반 소비자들과 사용자들도 노리고 기업 계정들도 노립니다. 가리지 않습니다. 그만큼 공격이 빈번하게 이뤄진다는 뜻이고, 이런 상황에서 기업과 기관들은 직원들의 장비가 어떤 식으로 보호를 받고 있는지 능동적으로 파악해 조치를 취해야 합니다. 소셜미디어를 통해 뭐가 흘러들어왔을 지 아무도 예측할 수 없거든요. 소셜미디어에서의 멀웨어 및 피싱 공격에 대해서 교육하고 훈련하는 것도 필요합니다.”

메타 플랫폼에서 발견된 스파이웨어 기업 8곳
메타가 이번에 스파이웨어들을 퇴치해내면서 알아낸 몇 가지 사실이 있는데, 이는 다음과 같다.

1) 스파이웨어 기업은 반쯤만 합법적이고 반쯤은 그렇지 않기 때문에 복잡하고 다중적인 소유주 구조를 갖춘 기업의 형태를 하고 있다. 가장 핵심이 되는 사업적 기능은 숨겨져 있는 게 보통이다.

예를 들어 사이포게이트(Cy4Gate)라는 기업의 경우, 이탈리아의 스파이 대행 기업인데, 국방 업체 중 하나인 ELT그룹(ELT Group)이 소유하고 있는 것으로 서류상 기재되어 있다. 사이포게이트는 인공지능으로 생성한 이미지를 활용해 가짜 소셜미디어 계정을 다량으로 만들고, 이를 통해 공격 표적을 감시하고 추적하는 기법을 주로 활용하는 것으로 밝혀졌다. 왓츠앱처럼 보이는 피싱 사이트를 운영한 적도 있다.

그런데 사이포게이트는 ELT그룹에 소속되어 있는 것 외에 스스로도 RCS랩스(RCS Labs)라는 회사를 소유하고 있었다. RCS랩스라는 이름을 걸고 소셜미디어에서 활동하는 사람들은(혹은 가짜 페르소나들은) 주로 아제르바이잔, 카자흐스탄, 몽골의 젊은 여성이나 활동가, 기자들을 사칭한다는 패턴을 보여주곤 했다. 이런 식으로 피해자들에게 접근한 후 연락처를 주고받고, 친분 관계를 쌓아 악성 파일을 열도록 했다.

2) 스파이웨어 고객들은 사이버 공격자들과 구분하기 힘들 때가 많으며, 실제로 스파이웨어 하나만 사용하는 게 아니라 여러 개의 도구를 복합적, 연쇄적으로 활용할 때가 많다. 최신 공격 기법인 ‘연쇄 공격’을 구사하는 것이다.

예를 들어 이탈리아의 또 다른 스파이웨어 업체인 IPS인텔리전스(IPS Intelligence)의 고객사 하나는 직접 소셜엔지니어링 기법을 구사하고, 피해자의 IP 주소를 추적했으며, 그 중 안드로이드 장비가 걸려들면 추가 악성 행위를 실시하기도 했었다. 이는 IPS인텔리전스가 제공하는 스파이웨어와는 전혀 별개로 이뤄지는 것이었다.

3) 스파이웨어 기업들은 자신들이 판매하는 익스플로잇 도구와 방법들을 실험하기 위해 소셜미디어 플랫폼들을 적극 활용하는 모습을 보여주었다.

스페인의 기업 바리스톤IT(Variston IT)와 몰리티암인더스트리즈(Mollitiam Industries), 이탈리아의 네그그룹(Negg Group)과 트루엘IT(TrueL IT), UAE의 프로텍트일렉트로닉시스템즈(Protect Electronic Systems) 전부 스파이웨어를 실험하기 위해 소셜미디어 계정들을 만들고 적극 활용하는 모습을 보였다. 네그그룹의 경우 데이터를 빼돌려 iOS나 안드로이드, 윈도 등 다양한 플랫폼으로 전송하는 실험을 소셜미디어에서 진행하기도 했다.

스미스는 “모바일 위협 방어 기법과 모바일 앱 확인 기법을 반드시 조직 내에 구축해야 이러한 위협을 막을 수 있다”고 주장한다. 그래야 멀웨어나 피싱, 권한 남용 등의 수상한 행동 패턴을 식별 및 탐지할 수 있다는 것이다. “특히 특정 플랫폼에만 치우친 방버 도구는 더 이상 도움이 되지 않는다는 걸 이해해야 합니다. 모든 플랫폼이 스파이웨어의 공격에 노출되어 있습니다.”

3개의 가짜뉴스 네트워크도 폐쇄돼
메타의 플랫폼들에서는 가짜뉴스 네트워크도 상당히 발달되어 있다. 최근 메타는 그 중 세 개를 적발해 폐쇄시켰다고 밝혔다.

1) 미국 사용자들을 겨냥한 중국발 네트워크 : 반전 분야의 활동가 및 미국 군인 가족들로 위장해 활동했다. 메타의 플랫폼들은 물론 미디엄(Medium)과 유튜브에서도 활동했다.

2) 미얀 사용자들을 겨냥한 미얀마발 네트워크 : 소수인종을 위장하여 소수인종들에게 접근하기 위해 형성된 네트워크로, 메타의 플랫폼들은 물론 텔레그램과 엑스, 유튜브에서도 활발하게 활동했다.

3) 우크라이나와 카자흐스탄의 개개인들을 노린 우크라이나발 네트워크 : 개인 사용자들을 표적으로 삼는 공격 캠페인이었다.

사실 가짜뉴스를 가장 활발하게 생산하여 퍼트리는 건 러시아의 조직들이다. 그런데 이번에 적발되고 폐쇄된 가짜뉴스 네트워크 중 러시아의 것은 하나도 없다. 그라피카(Graphika)에 따르면 이는 우연이 아니다. 러시아의 국영 매체들의 메타 플랫폼 이용률은 러우 전쟁 발발 이후 55%로 줄어들었으며, 메타 플랫폼 내 러시아인의 소셜미디어 활동률 역시 94% 이상 줄어들었기 때문이다.

“러시아 조직의 활동량 자체가 줄어들었습니다. 소셜미디어 플랫폼들에서 러시아인의 흔적이 사라지고 있는 겁니다. 이들은 러시아 국적을 가진 가짜 페르소나도 잘 만들지 않고 있습니다. 그 이유는 이들이 가상의 인물이 아니라 실존하는 사람들의 신원을 이용해 계정을 만들거나, 실존 인물들의 계정 자체를 침해하는 쪽으로 선회했기 때문입니다. 그래야 덜 발각된다는 걸 깨달은 것 같습니다.” 메타의 설명이다.

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)