보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

솔라윈즈 배후의 공격 그룹, 알고 보니 러시아의 털라?

  |  입력 : 2021-01-12 16:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈 공격자들은 선버스트라는 멀웨어를 피해자들에 심었다. 그런데 이 멀웨어가, 유명 APT 단체인 털라의 백도어인 카주어와 상당히 비슷하다고 한다. 두 그룹 사이에 어떤 일이 있었던 것일까? 아니면 같은 그룹?

[보안뉴스 문가용 기자] 12월부터 미국 보안 업계를 뒤흔들고 있는 솔라윈즈(SolarWinds) 사태와 러시아의 ATP 그룹인 털라(Turla)와의 관련성이 발견됐다고 보안 업체 카스퍼스키(Kaspersky)가 발표했다. 이 관련성은 두 공격 단체들이 사용한 백도어 사이에서 나타난 유사성에 기인한다.

[이미지 = utoimage]


털라가 주로 사용하는 백도어는 카주아(Kazuar)라고 하고, 이번 솔라윈즈 사태 때 발견된 백도어는 선버스트(Sunburst)다. 그런데 이 둘 사이에서 비슷한 점들이 발견된 것이다. 먼저 카주아는 닷넷(.NET) 프레임워크로 만들어진 멀웨어이며, 2017년 처음 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발견해 세상에 알렸다. 카주아가 개발된 건 2015년으로 알려져 있다.

당시 카주아는 전 세계적으로 진행된 스파이 공격 캠페인에서 발견됐다. 선버스트도 마찬가지다. 그 외에도 슬리핑 모드 알고리즘, FNV-1a 해시의 광범위한 활용, 피해자에게 할당되는 고유 ID의 생성 알고리즘에서 유사한 점이 발견됐다. 참고로 털라는 스네이크(Snake), 베노머스 베어(Venomous Bear), 워터버그(Waterbug), 유로보로스(Uroboros)라는 이름으로도 불리는 러시아의 위협 행위자들이다. 2004년부터 활동한 것으로 알려져 있다.

카스퍼스키는 선버스트가 처음 활용된 2020년 2월 이후 카주아도 계속해서 진화 과정을 거쳐왔고, 2020년에 발견된 버전들의 경우 상호 유사성이 더 확연하다고 설명한다. 카스퍼스키는 보고서를 통해 “선버스트에서 발견된 기능 중 상당수가 카주아의 후기 버전에 거의 그대로 들어갔다”고 말하며, “이 기능들은 대단히 비슷한 면모를 가지고 있다”고 밝혔다.

물론 이 두 가지 멀웨어에서 발견된 슬리핑 모드 알고리즘이나 FNV-1a, 고유 ID 생성 알고리즘이 카주아나 선버스트에서만 고유하게 발견되는 것은 아니다. 다른 멀웨어들에서도 각기 발견되곤 하는 것들이다. 다만 카스퍼스키는 이 세 가지가 두 멀웨어 모두에서 한꺼번에 발견된다는 것이 우연이라고 하기에는 그 확률이 너무나 희박하다고 강조한다. “다른 멀웨어들에서도 이따금씩 사용되는 기능 세 가지가 우연히 두 멀웨어에서 모두 발견된다? 의심스럽죠.”

게다가 선버스트가 개발되기 전에 확보된 카주아 샘플에 새롭게 추가된 64비트 해시 기능도 의심을 불러일으키는 부분이다. “이 기능이 새롭게 추가된 것을 세상 그 누구도 몰랐어요. 오직 선버스트 개발자들만 알았죠. 이것도 이상한 부분이죠. 카주아 개발자들은 코드를 끊임없이 바꾸고 패킹 기법도 버전마다 새롭게 합니다. 탐지가 정말 어려운 이유죠. 실제로 카주아가 바이러스토탈에 나타나는 경우도 거의 없습니다. 그런 카주아의 변경점을 선버스트 개발자들만 알았다는 것입니다.”

그러나 카스퍼스키는 아직 ‘의심의 단계’에 있다는 것을 강조한다. 왜냐하면 코드들이 완벽히 똑같은 건 아니기 때문이다. 또한 둘 사이에 연관성이 있다고 해서 개발자가 동일하다고만 볼 수도 없다. “카주아에 영감을 받은 자가 선버스트를 만들었을 수도 있고, 카주아 개발에 참여했던 인력이 일부 선버스트 개발을 도왔을 수도 있으며, 선버스트를 만든 자들이 카주아를 어디선가 입수해 일부분만 조금씩 수정했을 수도 있다”고 카스퍼스키는 설명했다.

솔라윈즈 사태는 현재까지 10여개의 미국 연방 기관과 중요 IT 업체들에 영향을 준 것으로 알려져 있다. 카스퍼스키가 털라를 언급하기 전까지 솔라윈즈 사태 배후의 공격자들로 공식 언급된 건 UNC2452 혹은 다크헤일로(DarkHalo)라는 단체였다. 미국의 정보 기관들은 러시아의 가능성을 언급하긴 했으나 이는 국가의 이름이지 해킹 그룹을 지칭하는 건 아니다. 현재까지 밝혀진 바 UNC2452는 선버스트 외에도 여러 멀웨어를 피해자의 시스템에 심었다고 한다.

그렇다면 다크헤일로가 털라인 것일까? 카스퍼스키는 이 부분에 있어서는 아직 조심스럽다. 여러 가지 상황을 조합해 보면 둘의 연관성이 있는 건 분명하지만, 둘이 동일한 그룹이라고 결론을 내리는 건 또 다른 문제인 것이다. “선버스트의 공격자가 일부러 카주아의 특성 몇 개를 심어놓고 저희 같은 추적자의 시선을 엉뚱한 곳으로 잡아끄는 것일 수도 있습니다. 더 많은 정보가 수집되어야 다크헤일로와 털라의 관계를 보다 분명히 말할 수 있을 것입니다.”

카스퍼스키는 “솔라윈즈 공격자들이 털라 공격자들과 어느 정도 관련이 있을 것으로 보인다는 가설과 정황 증거만으로도 수사를 진행하는 데 있어 어느 정도 도움이 될 것”이라며 “공격자를 정확하게 특정하지 못한다고 해서 조사가 무의미하게 되는 건 아니”라고 보고서를 통해 설명했다. “이렇게 증거가 하나 둘 쌓이고 모여야 나중에 범인을 정확히 파악할 수 있습니다. 각종 보안 사고의 배후 세력들도 이런 식으로 정체를 드러냈고요.”

3줄 요약
1. 솔라윈즈 공격 감행한 자들, 현재까지는 UNC2452 혹은 다크헤일로로 알려져 있음.
2. 카스퍼스키가 조사해 본 결과, 털라 공격자들의 백도어와 다크헤일로의 백도어가 상당히 유사함.
3. ‘털라=다크헤일로’까지 가기에는 아직 무리. 더 많은 증거가 수집되어야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북