샌드웜(Sandworm)이라는 이름으로 알려진 러시아 군대 소속 해커 집단이 우크라이나 정전 사태부터 역사상 가장 치명적인 피해를 일으킨 낫페트야(NotPetya)까지 여러 사이버 범죄를 저질렀지만, 교묘하면서 신중하지는 않은 것으로 알려졌다.
2월 15일(현지 시각), 프랑스 사이버보안국(ANSSI)이 러시아 GRU 군사 정보 기관 산하 샌드웜과 관련이 있는 해커가 일부 프랑스 기관 보안을 공격했다는 내용의 경고문을 발행했다. ANSSI는 해킹 피해 기관 대부분이 IT 기업이며, 특히 웹 호스팅 기업이 큰 피해를 보았다고 밝혔다. 주목할 만한 점은 ANSSI가 발표한 사이버 공격이 2017년 말부터 시작돼 2020년까지 이어졌다는 사실이다. 이번 해킹으로 해커가 같은 이름을 지닌 파리의 어느 한 기업에 매각된 센트레온(Centreon) 서버 보안을 공격한 것으로 파악됐다.
ANSSI는 센트레온 서버 해킹이 어떻게 이루어졌는지 확인할 수 없었으며, 두 가지 멀웨어를 발견했다고 밝혔다. ANSSI가 발견한 멀웨어는 공개적으로 사용할 수 있는 백도어인 파스(PAS)와 슬로바키아 사이버 보안 기업 이셋(ESET)이 과거, 샌드웜의 해킹에 사용된 것으로 확인한 멀웨어인 엑사라멜(Exaramel)이다. 여러 해커 집단이 서로 사용한 멀웨어를 사용하고, 간혹 조사자에게 혼동을 주기도 하지만, 프랑스 당국은 센트레온 해킹에 사용된 명령 및 제어 서버가 과거 샌드웜 해킹과 중복된다고 말했다.
샌드웜 해커가 몇 년간 지속된 프랑스 해킹으로 의도한 바가 무엇인지 확실하지는 않지만, 샌드웜의 해킹은 샌드웜의 과거 해킹 결과를 지켜본 이들에게 경각심을 불러일으킨다. 변형된 엑사라멜 백도어 등장 초기의 우크라이나 전력망 공격을 포함해 샌드웜의 해킹 활동을 지난 몇 년간 추적한 보안 기업 도메인툴즈(DomainTools) 소속 연구원 조 슬로윅(Joe Slowik) 박사는 “샌드웜은 치명적인 운영과 관련이 있다. 프랑스 당국이 문건으로 발표한 샌드웜의 해킹과 관련해 알려진 최종 공격은 없지만, 샌드웜의 공격이 우려스러운 것은 사실이다. 샌드웜 해킹 공격 대다수의 최종 목표가 눈에 띄는 치명적인 영향을 주는 것이다. 프랑스에서 발생한 이번 공격에 주목해야 한다”라고 말했다.
[사진=Freepik]
ANSSI는 샌드웜 해킹 공격으로 피해를 본 기관을 밝히지 않았다. 그러나 센트레온 웹사이트에 공개된 고객사 명단에 통신 업체 오렌지(Orange)와 옵티콤(OptiComm), IT 컨설팅 기업 CGI, 방위 및 항공 우주기업 탈레스(Thales), 철강 및 광산 기업 아르셀로미탈(ArcelorMittal), 에어버스, 에어프랑스 KLM, 운송 기업 퀴네나겔(Kuehne + Nagel), 핵발전 기업 EDF, 프랑스 법무부 등이 포함됐다. 센트레온 서버를 운영하는 고객사 중, 어떤 기업의 서버가 인터넷에 유출됐는지 불확실하다.
센트레온은 메일 성명을 통해 정기적으로 보안 업데이트를 제공한다는 사실을 언급하며, “모든 단계에서 확인된 취약점과 해킹 발생 기간에 센트레온이 제공한 상용화된 버전과의 관련성이 없는 것으로 입증됐다. ANSSI의 문서가 공개된 지 얼마 지나지 않은 현재, ANSSI가 밝힌 취약점이 센트레온의 패치 중 하나에 해당하는가와 같은 구체적인 사항을 밝힐 단계가 아니다”라고 전했다.
사이버 보안 업계 일부 관계자는 ANSSI의 보고서가 프랑스판 솔라윈즈 소프트웨어 공급망 해킹을 나타낸다고 해석했다. 지난해 말 알려진 대대적인 해킹 범죄에서 러시아 해커 집단은 솔라윈즈의 IT 모니터링 애플리케이션을 변경하고, 미 연방 기관 최소 6곳을 포함해 정확히 알려지지 않은 수치의 네트워크를 마비시켰다.
그러나 ANSSI의 보고서에는 공급망 보안 악화 사실이 언급되지 않았으며, 슬로윅 박사는 이번 공격이 단순히 피해자 네트워크 내에서 센트레온 소프트웨어를 운영하는 인터넷 페이싱 서버를 악용하는 식으로 이루어졌다고 설명한다. 슬로윅 박사는 이번 센트레온 해킹이 2020년 5월, 미국 국가안전보장국(NSA)에서 발표한 샌드웜 관련 또 다른 경고와 일치한다는 사실을 지목했다. 당시 NSA는 샌드웜이 리눅스 서버를 운영하는 엑심(Exim) 이메일 클라이언트를 실행하는 인터넷 페이싱 기기를 해킹한다고 경고했다. 센트레온 소프트웨어가 마찬가지로 리눅스를 기반으로 하는 센트OS(CentOS)로 운영된다는 사실을 고려했을 때, 같은 시간대에 비슷한 공격이 개시됐음을 나타낸다. “센트레온 해킹과 솔라윈즈 해킹 모두 같은 기간, 공격 대상의 네트워크 내에서 초기 액세스나 이동을 위해 리눅스를 실행하던 외부 대상 취약한 서버를 식별하는 데 동시에 사용됐다”라고 설명했다. (GRU 산하 해커 조직이라고 알려진 샌드웜과 달리 솔라윈즈 해킹은 보안 업체와 미국 정보국 모두 러시아 정부 탓이라고 주장하고 있지만, 아직 어떤 특정 정보기관과 연관을 짓지 않았다.)
샌드웜이 우크라이나에서 유포해, 전 세계에 100억 달러 상당의 금전적 손실을 일으킨 것을 포함해 우크라이나에 악명 높은 사이버 공격에 중점을 두었지만, GRU는 과거에 프랑스를 대상으로 한 공격적인 해킹을 회피하지 않았다. 2016년, GRU 해커는 이슬람 극단주의 세력으로 위장해, 프랑스의 TV5 방송 네트워크를 파괴하고 12개 채널이 방송되지 않도록 했다. 샌드웜 소속 해커를 포함한 GRU 해커는 이메일 해킹 및 유출 작전을 수행했다. 당시 프랑스 대통령 선거 후보로 출마한 에마뉘엘 마크롱의 유세 운동을 방해하기 위한 의도였다.
2014년, 샌드웜 연구를 처음 시작한 보안 기업 파이어아이(FireEye)의 정보 부사장인 존 헐퀴스트(John Hultquist)는 ANSSI의 보고서를 통해 알려진 해킹 공격 중, 결과적으로 치명적인 결과가 발생하지 않았지만, 센트레온 해킹은 일종의 큰 경고가 된다고 말한다. 헐퀴스트 부사장은 파이어아이가 아직 ANSSI와 별도로 센트레온 해킹을 샌드웜 탓이라고 밝히지 않은 점에 주목한다. 그러나 그는 센트레온 공격이 끝났다고 말하기에는 너무 이르다고 주장한다. 그는 “정보 수집일 수도 있지만, 샌드웜은 우리 모두가 고려해야 할 정도로 오랫동안 해킹 활동을 펼친 이력이 있다. 오랜 시간에 걸쳐 샌드웜이 확실한 접근 권한을 가진 것을 발견할 때마다 그 여파에 대비해야 한다”라고 말했다.
![[사진=Freepik]](/news/photo/202102/2942_3930_2441.jpg)
뉴스레터 신청