털라(Turla)라는 이름으로 알려진 조직이자 2008년, 미국 국방성 시스템을 통해 확산된 악성 멀웨어 agent.btz 유포 세력으로 악명 높은 러시아 사이버 감시 공격 세력이다. 2008년 당시 털라는 보안을 의심하지 않은 국방성 직원이 연결한 악성 바이러스에 감염된 USB 드라이브를 통해 광범위한 시스템 접근 권한을 손에 넣었다. 15년이 지난 현재, 털라가 USB 감염을 이용한 새로운 사이버 공격을 개시했다. 이번에는 다른 해커 세력의 USB 감염 공격을 악용해 자체 멀웨어 감염 공격을 개시하고는 몰래 감시 공격 표적을 선택했다.
1월 5일(현지 시각), 사이버 보안 기업 맨디언트(Mandiant)는 털라가 감염된 USB 드라이브를 통해 확산된 약 10년 전의 사이버 범죄 멀웨어의 만료된 도메인을 등록하면서 피해 기관의 네트워크 접근 권한을 손에 넣었다고 발표했다. 털라는 러시아 러시아연방보안국(FSB)의 사이버 공격 작전에 개입하는 것으로 너리 알려졌다. 결과적으로 털라는 정체를 숨기는 멀웨어 명령 제어 서버를 장악하고는 피해 기관에 몰래 접근하고는 감시할 만한 표적을 찾았다.
털라는 시스템 접근 권한 탈취 기법으로 보안 감지를 피하고는 다른 해커의 발자취 속에 숨어든 동시에 네트워크를 다량으로 수집했다. 또, 맨디언트 정보 분석 총괄 존 헐퀴스트(John Hultquist)는 털라의 수법은 지난 15년간 진화하면서 교묘해졌다고 설명했다. 헐퀴스트는 "이미 USB를 통해 멀웨어가 확산돼, 털라는 정체를 드러내지 않고도 멀웨어를 최대한 악용할 수 있었다. 또, agent.btz와 같이 자체 USB 수단을 사용하지 않고 다른 해커 세력의 악성 USB를 이용했다. 즉, 다른 해커의 공격 작전을 이용했다는 의미이다. 매우 영리한 사이버 공격 수법을 이용한 셈이다"라고 설명했다.
맨디언트는 2022년 9월, 사건 대응팀이 우크라이나 네트워크의 의문스러운 보안 침입 사건을 연구하던 중 털라의 수법을 처음 발견했다. 우크라이나는 2022년 2월, 러시아가 우크라이나를 침략한 재앙과 같은 전쟁이 시작된 후 러시아 정보국의 주요 공격 표적이 되었다. 네트워크의 일부 컴퓨터는 누군가가 USB 드라이브를 포트에 연결하고, 폴더로 위장한 USB 드라이브의 악성 파일을 한 번 더 확인하면서 안드로메다(Andromeda)라는 멀웨어를 설치하게 되면서 보안 감염이 발생했다.
[사진=Pixabay]
안드로메다는 2013년부터 신원 탈취 시 악용한 상대적으로 보편적인 뱅킹 트로이 목마이다. 그러나 맨디언트 애널리스트팀은 안드로메다에 감염된 컴퓨터 중 한 대를 통해 안드로메다 샘플이 위험한 멀웨어 두 가지를 더 설치했다는 사실을 확인했다. 그 첫 번째 멀웨어는 과거, 털라가 사용한 적이 있으며, 최근 부활한 툴인 코피루왁(Kopiluwak)이다. 두 번째 멀웨어는 피해자의 컴퓨터에서 신중하게 선택한 데이터를 압축한 뒤 이용하는 멀웨어 '콰이어트카나리(Quietcanary)'이다. 콰이어트카나리도 털라가 과거에 이용한 적이 있는 멀웨어이다. 맨디언트 위협 정보 애널리스트 개비 론콘(Gabby Roncone)은 "맨디언트는 코피루왁과 콰이어트카나리를 발견한 뒤 위험한 사이버 공격으로 분류했다"라고 밝혔다.
맨디언트 연구팀은 감염 체인이 시작된 안드로메다 유포용 명령 제어 서버를 조사하면서 안드로메다 샘플 제어에 이용한 도메인이 만료돼, 2022년 초에 등록된 사실을 확인했다. (안드로메다라는 이름은 보안 업계에서 경멸스러운 사이버 보안 경멸 언어로 통한다.) 연구팀은 만료된 도메인 최소 두 개가 등록된 것을 확인했다. 만료된 도메인은 전반적으로 안드로메다 감염 기기 수백 대에 연결했다. 그리고 털라는 도메인 연결 기기 모두 감시 작전의 표적을 찾는 데 이용했다.
헐퀴스트는 "기본적으로 감시 작전을 펼치면서 더 중대한 정보를 탈취할 표적을 찾을 수 있다. 불특정 다수에게 스팸 메시지를 보내지 않고, 다른 사이버 공격 세력이 대신 스팸을 보내도록 한다. 그리고 시간이 지나면서 정보 유출 가치가 있는 피해 기관을 찾고, 공격 상대를 선택한다"라고 설명했다.
사실, 맨디언트는 털라의 멀웨어를 유포한 안드로메다 감염 기기의 정보 탈취 피해가 발생한 우크라이나 사례만 발견했다. 그러나 맨디언트는 피해 기관이 더 많을 것으로 의심했다. 헐퀴스트는 안드로메다의 USB 감염을 악용해, 교묘하게 표적을 지정한 스파이 작전이 기관 단 한 곳이나 우크라이나만 겨냥했을 것이라고 확신할 근거가 없다는 점을 경고했다. 그는 "털라는 전 세계 정보 수집 의무가 있는 조직이다"라고 지적했다.
털라는 오랫동안 교묘한 속임수로 자체 멀웨어 제어를 숨기고, 심지어 맨디언트가 최근 발견한 것과 같이 다른 해커 세력의 제어를 가로챈 적이 있다. 2015년, 사이버 보안 기관 카스퍼스키(Kaspersky)는 털라가 위성 인터넷 연결을 제어해, 자체 명령 제어 서버 위치가 불분명하게 만들었다는 점을 확인했다. 2019년, 영국 정부통신본부(GCHQ)는 털라가 몰래 이란 해커 조직의 서버 명령으로 정체를 숨기고는 털라의 정체를 찾아내려는 시도에 혼란을 유발했다.
털라는 이처럼 교묘한 수법 때문에 유독 많은 사이버 보안 연구 기관이 정체를 찾아내려는 데 집착에 가까울 정도로 집중했다. 다수 사이버 보안 전문가가 1990년대에 이루어진 최초의 국가 산하 해킹 작전 중 하나인 문라이트 메이즈(Moonlight Maze)의 모든 지문을 추적했다. 털라의 agent.btz 썸드라이브 멀웨어는 털라의 또 다른 중대한 사이버 공격 순간을 대표한다. 미국 국방성이 USB 보안 침입이라는 당혹스러운 피해를 겪은 뒤 자체 사이버 보안 수준 대규모 업그레이드라는 목적으로 설계한 '벅샷 양키 작전(Operation Buckshot Yankee)' 계획을 발표했기 때문이다.
맨디언트가 발견한 털라의 또 다른 교묘한 USB 해킹 수법은 15년이 지난 지금도 USB 기반 침입 벡터가 사라지기 어렵다는 사실을 의미한다. 멀웨어에 감염된 드라이브를 기기의 USB 포트에 연결하면, 무차별적인 공격을 개시하는 사이버 범죄 세력뿐만 아니라 다른 사이버 범죄 조직의 공격으로 정체를 숨긴 다른 교묘한 해커 조직이 사이버 공격을 개시할 문을 열어준다는 사실을 의미한다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202301/4483_5909_3217.jpg)
뉴스레터 신청