Home > 전체기사
7년 동안 5000개 사이트 변조시킨 브라질 핵티비스트 찾아냈다
  |  입력 : 2020-05-29 14:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 정부 기관이 체크포인트에 의뢰...수주 동안 이어진 추적 끝에 정체 밝혀져
소셜 미디어에 범인이 올린 각종 자료들이 단서가 돼...체포로 이어졌는지는 불투명


[보안뉴스 문가용 기자] 정치적인 동기를 가지고 활동하던 핵티비스트가 끝내 꼬리를 잡혔다. 2013년부터 지금까지 5천 개가 넘는 웹사이트를 변조시켰고, 피해는 40개국에 다다른다고 한다. 왕성한 공격 행위를 진행하며 여러 가지 실수를 했는데, 이 때문에 결국 발각되었다고 한다.

[이미지 = utoimage]


추적 끝에 브라질에서 이 해커를 잡아낸 건 보안 업체 체크포인트(Check Point)다. 한 정부 기관의 의뢰로 사건을 맡았다고 한다. 범인은 20대 남성인 것으로 밝혀졌다. 하지만 이름은 사생활 보호 측면에서 공개하지 않고 있다. 브라질 사법기관에는 이 남성의 신상을 공개했지만, 아직 체포로 이어졌는지는 불명확하다.

문제의 해커는 반다더갓(VandatheGod)이라는 이름으로 온라인에서는 활동한 것으로 알려져 있다. 브라질, 아르헨티나, 태국, 베트남 등 수십 개국에서 활동하며 웹사이트 변조 공격을 진행해왔다. 작년에는 주로 미국을 겨냥해 공격했으며(57%), 시, 주, 의료 기관 등에서 피해가 집중적으로 발생했다.

모든 공격이 다 그런 건 아니지만 주로 반정부적인 동기를 가지고 이와 같은 일을 저질러온 것으로 보인다. 웹사이트에 그가 남긴 메시지들을 보면, 자신만의 사회적 정의를 구현하고자 한 것이 분명해 보인다.

체크포인트에 의하면 “반정부적인 성향이 많은 공격의 동기가 된 것이 맞지만, 그것이 전부는 아니”라고 한다. “전 세계 웹사이트 중 5000개를 변조시킨다는 것 자체가 그의 개인적인 목표이기도 했습니다. 웹 변조 공격 기록을 데이터로 남겨 보유하고 있는 서비스에 조회해 보면 반다더갓이 현재까지 4820개 정도 웹사이트를 변조시킨 것으로 나옵니다.”

반다더갓은 인터넷을 광범위하게 스캔해 알려진 취약점이 있는 사이트들을 주로 노린 것으로 보인다. 그러나 일부 정부 사이트나 학회 사이트의 경우, 표적 공격을 했던 흔적도 나왔다. 또한 금전적인 이유로 공격을 시도했던 흔적도 나왔다. “한 번은 뉴질랜드의 환자 100만 명의 기록에 접근한 적이 있습니다. 이를 유출시킨 반다더갓은 다크웹에서 200달러에 거래하기도 했습니다. 또 수차례 민감한 정보를 훔쳐낸 전적을 가지고 있습니다.”

체크포인트의 첩보 책임자인 로템 핑켈스틴(Lotem Finkelsteen)은 “처음에는 강력한 이데올로기를 가지고 공격을 시작했다가, 점점 더 다른 길로 빠진 전형적인 사이버 범죄자의 사례”라고 말한다. “범죄는 또 다른 범죄를 낳는 법입니다. 그는 뉴스를 통해 1차적으로 표적을 정하고, 공격 난이도에 따라 2차적인 결정을 했습니다. 결국 강력한 의지를 표출한 것이라기보다 상황과 여건에 맞는 표적을 골랐던 것이죠.”

그럼 반다더갓은 어떻게 덜미가 잡히게 됐을까? 트위터 등 소셜미디어 활동 때문이다. 그는 이른 바 ‘정치병’에 걸린 사람들이 거의 대부분 그렇듯 소셜미디어에 자신의 주장을 강력하게 표출하고 있었다. 체크포인트는 그를 추적하며 그가 과거에 사용했던 다른 ID도 여러 개 발견할 수 있었다. 그만큼 온라인 활동에 열을 올리던 인물이라는 것이다. 심지어 자신이 변조시킨 웹사이트의 스크린샷을 일부 업로드하기도 했다.

한 스크린샷의 경우 페이스북 탭의 이름이 노출되기도 했다. 그가 사용했던 여러 개 ID 중 하나였다(Vanda De Assis). 이것이 결정적으로 작용해 체크포인트의 전문가들은 페이스북 프로파일을 찾아 추적하기 시작했다. 그러면서 같은 이름의 트위터 계정을 발견했고, 이를 통해 그의 활동 사항을 보다 자세하게 파악할 수 있었다. 해당 스크린샷에는 M.R.이라는 이니셜도 있었는데, 이를 실명 정보에 대한 힌트라고 보았다.

M.R.이라는 이니셜로 페이스북 사용자들을 검색했을 때, 체크포인트 전문가들은 한 수상한 인물을 찾아낼 수 있었다. 웹사이트 변조 공격에 당했던 BCA라는 조직의 로고가 올라와 있었다. 브라질에 거주하는 자였고, 이미 체크포인트는 ‘공격자가 브라질에 거주하고 있다’는 것을 파악한 상태였다. 모든 게 맞아떨어졌다.

그의 트위터와 페이스북에는 거실 사진도 잔뜩 올라와 있었다. 다양한 각도로 찍혀 있어 꽤나 많은 정보를 얻어낼 수 있었다. 이 때문에 체크포인트는 M.R.이라는 인물과 반다더갓이 동일 인물이라는 사실을 확인할 수 있었다고 한다. 핑켈스틴은 “범인을 찾는 데 수주가 걸렸다”며 “그리 어려운 일은 아니었다”고 설명하기도 했다.

3줄 요약
1. 40개국 5000개 사이트를 변조시킨 핵티비스트, 결국 꼬리 잡힘.
2. 지난 7년 동안 5000개 사이트를 목표로 삼고 활동해온 20대의 브라질 청년이었음.
3. 정치적 성향 참지 못하고 소셜 미디어에 각종 자료 상세히 업로드 한 것이 빌미가 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)