2021년 여름까지 몇 개월간 민간 부문 기업을 통해 친근하게 다가오면서 항공 기업이나 방위산업체의 고소득 일자리 제안을 하는 페이스북 메시지를 받은 미군에게 페이스북이 몇 가지 나쁜 소식을 전달했다.
7월 15일(현지 시각), 페이스북이 오랫동안 운영됐으나 적어도 부분적으로 제 기능을 하지 못하게 된 이란 해커 세력의 움직임을 추적한 사실을 밝혔다. 페이스북이 추적한 이란 해커 세력은 기업 채용 담당자로 위장한 페이스북 계정을 사용하면서 미국 내 피해자에게 소셜 엔지니어링 제도에서 확신을 심어준 뒤, 멀웨어에 감염된 파일을 전송하거나 속여서 민감한 기밀 정보를 피싱 사이트에 건네도록 했다. 또, 이란 해커가 공격을 개시할 때, 병원이나 의료 업계, 기자, 비영리 단체, 항공사 등 피해자의 여러 SNS 플랫폼 프로필에 등장한 것과 같은 여러 업계 종사자로 위장했다. 또, 그동안 인근 국가에 초점을 맞추었던 이란 정부의 지원을 받는 SNS 가짜 신원 활동과는 달리 이번 공격은 미국인을 대거 공격 대상으로 삼고, 그보다는 규모가 작지만 영국과 유럽연합 회원국 출신 피해자도 있는 것으로 확인됐다.
페이스북은 이란 해커 세력의 활동 조사 결과로 자체 플랫폼에서 삭제한 가짜 프로필은 200개 미만이며, 해커가 공격 대상으로 지정한 피해자 수도 약 200명이라고 밝혔다. 7월 15일(현지 시각), 페이스북의 위협 파괴 총괄인 데이비드 아그라노비치(David Agranovich)는 기자단 앞에서 “페이스북의 자체 조사 결과, 페이스북 플랫폼은 여러 SNS 플랫폼과 이메일, 협력 사이트 등에 존재하는 피싱과 소셜 엔지니어링, 조작된 웹사이트, 악성 도메인으로 다수를 공격 대상으로 삼은 광범위한 감시 작전의 일부에 포함됐다”라고 말했다.
페이스북은 소셜 엔지니어링 공격 작전의 배후에 있는 해커 세력의 정체가 이란 정부를 대신해 작전을 개시하는 해커 조직인 톨도이즈쉘(Tortoiseshell)임을 확인했다. 톨도이즈쉘은 헬릭스 키튼(Helix Kitten)이라는 이름으로 APT34과 2019년에 처음 주목을 받은 차밍 키튼(Charming Kitten)이라는 이름으로도 알려진 APT35 등 다른 이란 정부 해커 조직과 규모가 비슷하면서 제약 없이 공격을 개시한다. 2019년 당시 사이버 보안 단체 시맨텍(Symantec)은 이란 해커 세력이 사우디아라비아 IT 제공업체 여러 곳의 보안을 침입하고는 ‘시스킷(Syskit)’이라는 멀웨어로 고객사 네트워크를 감염하도록 한 것이 분명한 공급망 공격을 발견했다. 페이스북은 최근 이어진 해킹 공격 작전에 동원된 것과 같은 멀웨어인 시스켓을 감지했으나 감염 범위가 이전보다 훨씬 더 넓고 이번에는 감염 수법과 함께 중동 대신 미국은 물론이고 서양 여러 국가의 개인을 공격 대상으로 한다는 차이를 감지했다.
[사진=Pixabay]
톨도이즈쉘도 공급망 공격을 통해 여러 소셜 엔지니어링을 채택하기 시작한 것으로 보이며, 보안 기업 맨디언트(Mandiant)는 톨도이즈쉘이 2018년 초부터 SNS 가짜 신원을 이용하기 시작했다고 말한다. 맨디언트 위협 정보 부사장 존 헐퀴스트(John Hultquist)는 톨도이즈쉘의 SNS 가짜 신원 이용 행위는 페이스북을 넘어서 다른 SNS 플랫폼에서도 발견할 수 있는 수법이라고 말한다. 그는 “초기 작전에서부터 매우 복잡한 SNS 제도로 간단한 기술적 접근방식을 보상한다. 이란은 실제로 이에 능숙하다”라고 말했다.
2019년, 시스코의 탈로스(Talos) 보안 부서는 톨도이즈쉘이 피해자가 PC에 멀웨어가 포함된 데스크톱 앱을 설치하도록 유도하는 가짜 미군 참전용사 사이트인 하이어 밀리터리 히로스(Hire Military Heroes)라는 사이트를 운영한 사실을 확인했다. 탈로스 정보 그룹 총괄인 크레이그 윌리엄스(Craig Williams)는 하이어 밀리터리 히로스와 페이스북에서 발견된 톨도이즈쉘의 활동을 통해 군인 개인의 민간 부문 취업 활동이 스파이의 공격에 악용할 요소가 많다는 사실을 확인했다고 말한다. 윌리엄스 총괄은 “민간 상업 기업으로 자신의 경력을 쌓고자 참전용사가 찾는 분야가 광범위한 업계라는 사실이 문제이다. 사이버 공격 세력은 실수를 범해, 클릭해서는 안 될 악성 파일을 선택하고 특정한 제안에 관심을 보이는 피해자를 찾아낸다”라고 말했다.
페이스북은 미국 노동부를 사칭한 사이트도 발견했다고 경고했다. 이에, 페이스북은 뉴스 미디어 사이트와 유튜브 및 라이브릭(LiveLeak)의 다양한 버전으로 위장한 웹사이트, 도널드 트럼프 전 대통령 가족과 트럼프 재단과 관련된 URL의 가짜 도메인 목록을 제공했다.
페이스북은 톨도이즈쉘의 멀웨어 샘플을 이란의 특수 IT 공급 업체 마학 라얀 아프라즈(Mahak Rayan Afraz)와 관련이 있다고 연결 지었다. 마학 라얀 아프라즈가 과거, 이란 군사 기관인 IRGC에 멀웨어를 공급한 적이 있으며, 이는 톨도이즈쉘과 이란 정부 간의 약한 연관 관계를 나타내기도 한다. 시맨텍은 2019년, 톨도이즈쉘이 사용한 몇 가지 소프트웨어 툴을 APT34 내부에서도 발견한 사실에 주목했다. APT34는 SNS를 이용해 페이스북과 링크드인 등 여러 사이트 전반에 걸쳐 수년간 사용자를 끌어모았다. 헐퀴스트 부사장은 현재 IRGC의 정보 작전을 개시하는 것으로 추정되는 APT35 등 다른 이란 해커 그룹과 몇 가지 같은 특성을 보였을 가능성을 언급했다. APT35는 과거, 미국 망명자이자 군사 정보 방위 산업 계약자 모니카 위트(Monica Witt)를 이용해 소셜 엔지니어링과 피싱 공격 표적으로 이용할 수 있는 위트의 전 동료인 다른 미군의 정보를 수집했다.
이란발 해킹 작전과 특히 이란에서 발생해 심각한 피해를 초래하는 사이버 공격의 위협은 트럼프 행정부의 공격적인 접근방식에서 바이든 행정부로 바뀌면서 위력이 약해진 것으로 보인다. 2020년, 이란 군대 최고 사령관 카셈 솔레이마니(Qassem Soleimani) 암살이 특히 이란의 보안 침입 행위가 서서히 증가하는 결정적인 계기가 됐다. 이에, 많은 사람이 이전에 실현된 적이 없는 보복 성향의 사이버 공격의 전조라고 우려했다. 반대로 바이든 대통령은 오바마 시대 이란의 핵 무기 보유 야욕 협상을 보류하고 이란과의 갈등을 완화하려는 모습을 보였다. 이란 정보 요원이 이란계 미국인 출신 언론인 납치 음모를 꾸몄다는 소식 때문에 제기된 우려에서 화해하려는 움직임을 보인 셈이다.
그러나 페이스북의 이번 발표는 이란이 미국과의 관계가 개선되어도 첩보 활동과 함께 계속 미국과 그 우방국을 공격 대상으로 삼을 것임을 시사한다. 헐퀴스트 부사장은 “IRGC가 미국에서 첩보 활동을 개시한 것은 분명하다. 여전히 상황이 좋지 않으며, 앞으로 사이버 공격 측면에서 이란의 행보를 신중히 살펴보아야 할 것”이라고 주장했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202107/3270_4341_3030.jpg)
뉴스레터 신청