90년대 사이버 공격에서 러시아 단체의 흔적 나왔다

20년간 보존된 피해 서버 발견... 로그 철저히 분석해
러시아 공격자인 것처럼 보이나, 명확한 증거는 부족

[보안뉴스 문가용 기자] 대체로 서구의 보안 전문가들은 1990년대 중후반 NSA와 미국 육군, 에너지부처와 여러 대학과 정부 기관들을 겨냥한 대규모 사이버 스파이 행위가 러시아의 스파이 그룹에 의해 자행된 것이라고 믿고 있다. 이 그룹은 털라(Turla), 베노머스 베어(Venomous Bear), 유로뷰로스(Uroburos), 스네이크(Snake) 등의 이름으로 불려왔다. 물론 명확한 증거는 존재하지 않아왔다. 적어도 지금까지는.

그러나 이 양상이 조금은 달라질 듯하다. 카스퍼스키 랩(Kaspersky Lab)의 연구원들과 런던의 킹스칼리지(Kings College London)의 연구원들이 90년대의 문라이트 메이즈(Moonlight Maze) 공격과 현대의 털라 그룹 사이의 ‘미싱 링크’를 찾아냈다고 발표한 것이다. 털라는 암호화되지 않은 위성 통신을 침해해 조용히 데이터를 훔쳐내는 것으로 유명한 해킹 단체다.

연구원들은 “문라이트 메이즈와 털라가 심지어 같은 사람들일 수도 있다”고 주장했는데, 이 말이 사실이면 문라인트 메이즈 혹은 털라는 미국의 이퀘이젼 그룹(Equation Group)과 더불어 가장 수명이 긴 스파잉 단체가 된다. 카스퍼스키와 킹스칼리지 연구원들이 이렇게 주장하는 것은 90년대의 공격 코드와 털라 그룹의 공격 코드에서 상당한 유사점을 발견했기 때문이다.

킹스칼리지의 토마스 리드(Thomas Rid)는 2016년 “기계의 출현(Rise of the Machines)”라는 책을 펴낸 적이 있는데, 이미 그 책을 통해 두 단체 사이의 연결성을 언급한 바 있다. 즉, 여기서부터 카스퍼스키와 함께 연구를 더 깊이 진행한 것이다.

먼저 이 연구원들은 문라이트 메이즈 공격의 흔적을 탐색해나갔다. 그리고 귀중한 ‘유물’을 찾아냈다. 영국의 피해자 중 한 명이 당시 하이재킹 된 서버를 20년 동안 보관해둔 것이다. 리드와 그의 동료인 다니엘 무어(Daniel Moore)와 카스퍼스키의 코스틴 라이우(Costin Raiu), 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 이 서버를 확보해 9개월 동안 분석했다. 그 결과 당시 공격자들이 해당 서버를 1998~1999년 사이에 공격용 프록시 서버로 활용했다는 걸 알아냈다.

또한 문라이트 메이즈 공격자들은 1) 오픈소스 유닉스 툴을 익스플로잇 해 2) 선 솔라리스(Sun Solaris) 기반의 유닉스 서버를 노렸다는 것도 파악했다. “당시 선 솔라리스 유닉스 서버는 상당한 인기를 구가하던 것이었죠.” 여기에 문라이트 메이즈가 당시 사용했던 백도어가 오픈소스 LOKI2 프로그램으로 만들어졌다는 것도 추가로 발견됐다. LOKI2는 1996년에 등장한 것이다.

“그런데 2014년 처음 털라 그룹이 발견되었을 때 등장했던 펭퀸 털라(Penquin Turla) 역시 LOKI2로 만들어졌습니다. 2014년엔 LOKI2가 그다지 큰 의미를 갖지 못했는데, 문라이트 메이즈 역시 LOKI2와 상관이 있다는 사실이 발견되었으니, 갑자기 둘 사이에 연결고리가 생긴 겁니다.”

다만 카스퍼스키는 정책상 스파이 그룹의 국적이나 출신지역을 공개하지 않는다. 털라가 러시아 단체냐 아니냐에 대해서 분명히 밝히지 않고 있다는 것이다. 다만 게레로사드 연구원은 “러시아어를 구사하는 사람들이며, 러시아 IP가 연관되어 있다”고까지는 언급한다. 무어 연구원은 “러시아 지역의 시간대와 로그 파일의 시간대가 겹치기도 한다”고 덧붙였다.

보다 중요한 건, 여태까지 미지의 영역에 가까웠던 90년대 해킹 그룹의 공격 방식이 이번 연구로 인해 베일을 벗었다는 것이다. 게레로사드는 “이번에 발견한 서버 속에서 엄청난 양의 로그 파일을 확보했고, 그 로그들을 통해 당시의 공격 방법에 대한 이해 수준을 높일 수 있었다”며 “FBI가 이 사건을 1999년까지 감춰두었기 때문에 누구도 확보할 수 없는 정보였다”고 설명한다.

게레로사드는 “문라이트 메이즈 공격자들은 당시 사고를 많이 겪었다”며 “실험 과정이었는지 운영 미숙이었는지, 문라이트 메이즈로 스스로를 여러 번 공격한 기록이 있다”고 말한다. “자기들 시스템을 자기들이 감염시키고, 트래픽을 스니핑해서, 그 결과물을 자기들 서버에 전송했더군요. 그것도 여러 번이나요.” 그 ‘사고’들이 문라이트 메이즈의 활동 로그가 남는 데에 일조한 것. 그리고 그 정보는 20년 전의 그 서버에 고스란히 남아있었다. 그 서버를 공격자들이 전략적 요충지로 활용했기 때문이다.

하지만 LOKI2만으로 문라이트 메이즈와 털라를 연결 짓는 건 무리다. 조금 더 많은 증거가 필요하다. 그래서 게레로사드는 “보안 커뮤니티의 많은 전문가들이 제보를 기다리고 있다”고 말한다. “털라에 대한 정보든 문라이트 메이즈에 대한 내용이든, 둘의 관련성을 보다 확고히 드러낼 수 있는 자료를 제공해주시면 감사하겠습니다.”

그렇다면 현재까지 발견된 것으로 어떤 중간정산을 할 수 있을까? “일단 털라와 문라이트 메이즈 사이에 뭔가가 있다는 큰 전제까지는 가져갈 수 있다고 봅니다. 적어도 이 방향의 추리가 틀리지는 않았다는 것이죠. 둘이 정말 같은 단체라면 어떤 의미를 가지게 될까요? 20년이 넘게 사이버 스파잉 행위를 펼쳐온 단체가 존재하고 있다는 뜻입니다. 즉 우리가 알고 있던 것보다 훨씬 더 깊고 큰 세력과 음모가 사이버 공간에 존재한다는 겁니다. 이퀘이젼 그룹 2의 발견이랄까요.”

또한 게레로사드는 “15~20년 된 백도어가 현대 사이버 환경에서도 여전히 효력을 발휘하고 있다는 것 자체에도 문제의식을 가져야 한다”고 주장한다. 또한 지난 3~4년 동안 발견된 털라 그룹의 또 다른 멀웨어나 백도어들이 여러 차례 공개된 것을 봤을 때 “이들이 공격 툴 개발에 정말 부지런하다는 것 또한 보안 커뮤니티에는 경고성 메시지”다. “보안 업체인 ESET이 카본(Carbon)이라는 털라의 백도어를 발견했죠. 카본을 추적하면서 추가 백도어를 8개나 더 찾아내기도 했고요.”

ESET의 수석 멀웨어 전문가는 장이안 부틴(Jean-Ian Boutin)은 “털라는 다른 러시아 해킹 그룹과 비교해서도 좀 차별화된 특징을 가지고 있다”고 설명한다. “털라는 들키지 않은 채 조용히 활동하는 기술에 매우 특화되어 있습니다. 보안 커뮤니티에 털라와 관련된 공격 방법이 공개되면, 즉시 공격 전략을 바꿔서 활동하기도 하지요. 그런데 팬시 베어(Fancy Bear)나 APT28과 같은 그룹들은 원래 하던 방식을 그대로 고수해요. 큰 차별점이라고 볼 수 있습니다.”

사실 문라이트 메이즈와 털라의 연관성은 방금 언급된 카본에서도 발견됐다. 유로뷰로스라는 오래된 스파잉 툴과 카본에 유사점이 상당히 많다는 것이다. ESET의 부틴은 “두 백도어가 흡사한 통신 프레임워크를 가지고 있는데, 구조와 가상 테이블은 거의 완벽히 일치한다”고 설명한다. “다만 카본의 통신 채널 수가 ESET 통신 채널 수에 비해 적습니다. 솔직히 유로뷰로스의 ‘라이트 버전’이 카본인 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)