본문 바로가기 주메뉴 바로가기 검색 바로가기
페이스북, 위구르족 겨냥한 해커 조직 ‘이블아이’에 칼 빼든다
상태바
페이스북, 위구르족 겨냥한 해커 조직 ‘이블아이’에 칼 빼든다
페이스북의 중국 감시 활동 조사는 페이스북 자체 플랫폼을 벗어난 범위로의 연구로 이어졌다.
By LILY HAY NEWMAN, WIRED US

페이스북이 중국에서 금지된 사실을 고려하면, 페이스북은 중국 소수민족 위구르족을 겨냥한 중국의 해킹 활동 관련 정보 출처가 되지 않을 것처럼 보인다. 그러나 3월 24일(현지 시각), 페이스북 측은 최근, 위구르족을 겨냥한 감시 활동을 확인했다고 밝혔다. 해당 활동은 처음 호주와 캐나다, 카자흐스탄, 시리아, 미국, 터키 등 해외에 거주하는 위구르족 사용자를 겨냥한 것으로 알려졌다. 페이스북은 이번 감시 활동이 위구르족을 겨냥해 기록을 추적하는 중국 해커 집단 이블아이(Evil Eye)의 소행이라고 밝혔다.

2020년 중반, 페이스북은 자체 서비스에서 이루어진 공격 행위 관련 증거를 거의 찾지 못했다. 학생 및 사회 운동가, 언론인, 전 세계 위구르족으로 위장한 여러 계정이 잠재적인 피해자에게 접촉해 악성 링크를 공유했다. 페이스북 연구팀은 페이스북 자체 생태계 바깥의 얼마 되지 않는 증거를 따라 멀웨어 유포 및 위구르족 활동 추적을 위한 이블아이의 대대적인 시도를 찾아냈다.

페이스북의 사이버 감시 조사 총괄인 마이크 드빌얀스키(Mike Dvilyanski)는 “극도로 표적을 지정한 공격 행위라는 사실을 확인했다. 해커 집단은 특정 소수 민족 집단을 겨냥하고는 감시 활동 표적이 지리적 위치와 구사 언어 혹은 사용하는 운영체제 등 특정 범위에 부합하는지 확인하기 위한 검증을 수행한다”라고 설명했다.

‘어스 엠푸사(Earth Empusa)’ 혹은 ‘포이즌 카프(PoisonCarp)’라는 이름으로도 알려진 이블아이는 위구르족을 겨냥한 끊임없는 공격을 개시하는 것으로 악명높다. 가장 최근의 공격 행위는 2019년에 시작돼, 중국이 코로나19 관련 봉쇄 조치를 재빠르게 시행한 2020년 초에 기승을 부리게 되었다.
 
[사진=Unsplash]
[사진=Unsplash]

페이스북은 이블아이가 공격 대상에게 접근하는 방식을 여러 가지 발견했다. 이블아이는 위구르족과 터키의 인기 언론 기관처럼 보이는 가짜 웹사이트를 만들고, 멀웨어를 유포한다. 또, 해외에 거주하는 위구르족이 신뢰하는 합법적인 웹사이트의 보안을 약화하고 인기 사이트를 멀웨어 유포 대상으로 악용한다. 이블아이는 지금껏 대대적인 위구르족 감시 시도를 확인하기 전까지 각종 웹사이트를 악용한 멀웨어 유포 공격 수법을 악용해왔다. 일부 해커 세력은 이전에 발견된 자바스크립트 악용 방식으로 이용한 웹사이트에 영향을 주어 표적이 된 기기에 인섬니아(Insomnia)라는 이름으로 알려진 iOS 멀웨어를 설치했다.

또한, 페이스북 연구팀은 위구르족 중심 키보드와 사전, 기도 앱 등 위구르족 관련 인기 앱 출처로 보이는 가짜 안드로이드 앱스토어 설정도 발견했다. 실제로 지금까지 발견된 악성 앱 스토어는 액션스파이(ActionSpy)플러그인팬텀(PluginPhantom)이라고 알려진 두 가지 안드로이드 멀웨어에서 탄생한 스파이웨어를 유포했다. 그중, 플러그인 팬텀은 지난 몇 년간 다양한 형태로 유포되었다.

페이스북의 분석은 이미 오래전부터 페이스북 플랫폼에서 이루어졌다. 페이스북의 사이버 감시 활동 조사팀은 더 나아가 베이징베스트 유나이티드 테크놀로지(Beijing Best United Technology Co., Ltd.)와 달리안 9러쉬 테크놀로지(Dalian 9Rush Technology Co., Ltd)가 개발해, 이블아이가 사용한 안드로이드 멀웨어를 추적했다. 페이스북은 위협 정보 기업 파이어아이(FireEye)의 연구가 사실을 밝혀내는 데 도움이 됐다고 밝혔다. 와이어드는 두 기업에 사실 확인을 위해 즉시 연락할 수 없었다. 페이스북은 이블아이의 감시 활동 발견 사실을 발표할 때, 이블아이와 중국 정부와의 관계를 공식적으로 밝힐 수는 없었다.

페이스북 보안 정책 총괄인 나다니엘 글레이처(Nathaniel Gleicher)는 “이번 사례에서 (멀웨어 개발) 기업과 관계가 있음을 분명히 확인했으며, 감시 활동을 기반으로 지리적 귀속을 확인할 수 있었다. 그러나 실제 감시 활동의 배후를 입증할 수는 없다. 따라서 앞으로 페이스북이 할 일은 입증할 수 있는 증거를 제시하는 것이다. 그리고, 이를 분석할 수 있는 광범위한 공동체가 있다는 사실을 알고 있으며, 형태와 전략에 따라 최선의 결과가 나올 수도 있을 것이다”라고 설명했다.

파이어아이 산하 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 총괄 벤 리드(Ben Read)는 3월 24일에 발표된 공식 성명을 통해 “이블아이의 감시 활동은 주로 사이버 감시 활동으로 위구르 소수민족을 빈번하게 대상으로 삼으면서 공격하는 중화인민공화국 정부의 지원을 통해 이루어졌다고 본다”라고 밝혔다. 이어, 리드 총괄은 같은 해커 세력은 티베트족이나 홍콩의 민주화 운동 세력 등 중국 정부가 정권을 위협한다고 간주하는 다른 집단도 공격 대상으로 삼는다고 덧붙여 말했다.

이번 이블아이의 감시 활동은 해킹 활동 연구 내용을 자사 플랫폼에서 더 나아가 대중화하려는 페이스북의 접근 방식이 진화하고 있다는 사실을 반영한다. 페이스북은 자사 플랫폼에서 이블아이의 공격 표적이 된 사용자 수가 500명 미만임을 확인했으며, 그 결과로 소수 계정이 삭제되고 웹사이트가 차단되었다고 설명했다. 글레이처 총괄은 페이스북이 자사 플랫폼에서 광범위한 악성 활동이 펼쳐진 사실을 발견했다면, 사이버 감시 조사팀이 손 놓고 있지 않을 것이라고 말했다. 페이스북에서 가능한 최대한의 조처를 한다. 또, 해커의 페이스북 공격을 어렵게 하는 것은 물론이고 데이터 수집과 활동 지표, 광범위한 위협 정보 공동체와의 협력으로 정보를 공유할 것이다. 이어, 글레이처 총괄은 페이스북이 실제로 피해자를 위험에 빠뜨리지 않고 해커에게만 피해를 줄 수 있다면, 정보를 공개할 것이라고 덧붙여 말했다.

페이스북이 본 이블아이의 공격 표적이 매우 광범위하지만, 연구팀은 이블아이가 최대한 신중하게 공격 활동을 숨기며 간혹 잠재적인 공격 대상을 평가하기 위해 극한의 노력을 펼친다. 그 뒤, 스파이웨어로 실제 피해자의 기기에 영향을 미친다. 일례로 iOS 멀웨어를 심을 때, 해커는 모든 잠재적 공격 대상을 기술적으로 평가했다. 평가 행위에는 IP 주소와 브라우저, 운영체제, 기기의 지역 및 언어 설정 확인 등이 포함됐다. 모두 공격 대상이 실제로 위구르족이 맞는지 확인하기 위한 시도였다.

글레이처 총괄은 “여러 감시 활동과 마찬가지로 고도로 공격 대상을 지정한 채로 개시되었다. 이블아이는 실제로 위구르족에 타격을 주도록 확실히 하고자 했다”라고 주장했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Facebook Moves Against ‘Evil Eye’ Hackers Targeting Uyghurs
이 기사를 공유합니다
RECOMMENDED