본문 바로가기 주메뉴 바로가기 검색 바로가기
정체불명의 새로운 해커 세력, 우크라이나 사이버 공간 잠입
상태바
정체불명의 새로운 해커 세력, 우크라이나 사이버 공간 잠입
정체가 밝혀지지 않은 해커 세력이 러시아의 우크라이나 침략 전쟁에서 양측의 사이버 공간에 잠입하여 감시 작전을 수행했다. 국가 차원의 정부 자금이 있었다는 사실을 시사한다.
By LILY HAY NEWMAN, WIRED US

우크라이나 네트워크가 10년 가까이 러시아의 교묘하면서 새로운 수법을 동원한 사이버 공격 대상이 되는 암울한 상황을 겪었다. 특히, 2022년, 러시아가 우크라이나를 침략한 뒤 우크라이나는 갈수록 러시아의 사이버 공격에 반격했다. 러시아와 우크라이나의 사이버 전쟁과 다른 국가 정부 및 해커 세력의 활동이 이어지는 가운데, 보안 기업 멀웨어바이츠(Malwarebytes) 연구팀이 2020년부터 우크라이나 중부 지역의 우크라이나 지지 세력과 우크라이나 동부 지역의 친러 세력을 보두 표적으로 삼고 감시 작전을 개시한 새로운 해커 조직을 추적했다고 발표했다.

멀웨어바이츠는 ‘레드 스팅어(Red Stinger)’라는 조직명으로 칭한 새로운 해커 세력의 활동으로 2020년부터 지금까지 5차례 작전이 펼쳐졌다고 설명했다. 그러나 연구팀은 2022년 발생한 레드 스팅어와 관련된 감시 작전 2건만 깊이 추적하였다. 레드 스팅어의 감시 작전 동기와 지원 국가 정보는 아직 확실하게 밝혀지지 않았다. 그러나 디지털 작전을 꾸준히 공격적으로 펼친 데다가 그동안 알려진 해커 세력과는 관린이 없다는 사실에 주목할 만하다.

멀웨어바이츠는 레드 스팅어의 작전을 '오퍼레이션 4(Operation Four)'로 칭했다. 멀웨어바이츠는 오퍼레이션 4가 우크라이나의 주요 기반 시설을 다루는 우크라이나 군사 관료는 물론이고, 잠재적 정보 가치가 다소 불분명한 다른 개인도 공격 표적으로 삼았다고 전했다. 레드 스팅어는 오퍼레이션 4 작전을 개시하는 동안 피해자의 기기에 침투하여 스크린샷과 문서를 몰래 제거하고, 심지어 마이크를 이용하여 오디오를 기록했다. 레드 스팅어의 다섯 번째 공격인 '오퍼레이션 5(Operation Five)'는 도네츠크, 마리우폴을 포함하여 러시아 찬반 투표를 운영하는 우크라이나 내 분쟁 지역의 여러 선거 관료를 표적으로 삼았다. 공격 표적 중에는 러시아 중앙선거관리위원회 자문 위원과 지역 내 이동 담당 관료(철도 기반 시설 관련 업무 담당자로 추정)도 포함되었다.
 
[사진=Freepik]
[사진=Freepik]

멀웨어바이츠 위협 정보 연구원 로베르토 산토스(Roberto Santos)는 "레드 스팅어가 표적을 삼은 감시 작전의 규모가 크다는 사실과 다량의 정보를 수집한 사실에 놀랐다"라고 밝혔다. 산토스는 레드 스팅어의 활동을 최초로 확인한 옛 동료인 호세인 자지(Hossein Jazi)와 협력하여 조사를 진행했다. 산토스는 "과거, 특정 대상을 표적으로 삼은 감시 작전을 발견했다. 그러나 실제로 피해자를 통해 마이크 녹음 기록과 USB 드라이브에 저장된 데이터를 수집한 사실을 확인했다. 일반적으로 발견되는 공격이 아니다"라고 설명했다.

보안 기업 카스퍼스키(Kaspersky) 연구팀은 2023년 3월 말, 오퍼레이션 5 관련 연구 보고서를 처음 발행하며, 해당 공격의 배후 세력을 '배드 매직(Bad Magic)'이라고 칭했다. 이와 비슷하게 카스퍼스키는 우크라이나 농업 시설과 함께 정부와 우크라이나 동부 지역 교통 체계를 집중 공격 대상으로 삼은 조직도 발견했다.

카스퍼스키 연구팀은 보고서에 "오퍼레이션 5에 동원된 멀웨어와 공격 수법은 특별히 고도화되지 않았지만, 효과적이다. 또, 작전에 이용된 코드는 그동안 알려진 다른 사이버 공격 작전과는 관련이 없다"라고 기술했다.

공격 작전은 피싱 공격으로 시작하여 악성 링크를 배포해 ZIP 파일과 악성 문서, 특수 윈도 링크 파일 감염으로 이어지도록 한다. 이 과정에서 공격 세력은 백도어와 멀웨어 로더 역할을 하는 기본 스크립트를 배포한다. 멀웨어바이츠 연구팀은 레드 스팅어가 자체 해킹 툴을 배포하고, 특수 악성 URL 생성 프로그램과 IP 주소를 포함한 특정 스크립트와 인프라를 재사용하는 것으로 추측했다. 연구팀은 연구 도중 피해자 두 명이 레드 스팅어의 멀웨어에 감염된 사실을 발견한 뒤 레드 스팅어의 작전을 더 폭넓게 이해할 수 있었다.

산토스는 "피해자 두 명은 과거, 다른 사이버 공격 세력의 멀웨어 감염 피해를 겪은 적이 있다고 밝혔다. 해당 공격 세력의 작전이 2020년 이후에는 감지되지 않았다는 점에서 공격 작전을 개시할 의사가 없다고 본다"라고 말했다.

레드 스팅어는 현재 활동 중인 것으로 드러났다. 레드 스팅어의 작전은 이제 공개 단계에 진입했으나 추후 공격 수법과 툴을 변경해, 보안 감지를 피하려 할 수도 있다. 멀웨어바이츠 연구팀은 레드 스팅어의 활동을 공개하여 다른 사이버 보안 기관도 레드 스팅어의 작전을 감지하고, 레드 스팅어의 과거의 공격 작전과 배후 세력을 시사하는 추가 정보를 위한 자체 추적 기록을 찾기를 바란다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A Mysterious New Hacker Group Is Lurking in Ukraine’s Cyberspace
이 기사를 공유합니다
RECOMMENDED