우리나라 방위 산업체를 노린 신종 사이버 스파이 조직 '아이스포그(Icefog)'의 활동이 드러났다.
카스퍼스키랩은 아이스포그가 우리나라와 일본을 상대로 소규모를 대상으로 지난해부터 지능형지속가능위협(APT) 공격을 수행해왔다고 26일 밝혔다.
코스틴 라우 카스퍼스키랩 글로벌 연구&분석 책임자는 지난 몇 년 동안 카스퍼스키랩은 거의 모든 분야를 대상으로 한 APT 공격을 확인했다고 설명했다. 그에 따르면 대부분의 경우 공격자는 수 년간 기업과 정부 기관 네트워크에 발판을 두며 테라바이트 수준의 대규모 기밀 정보를 은밀히 유출시킨 것으로 드러났다.
카스퍼스키랩은 아이스포그가 치밀한 '치고 빠지기' 작전을 수행했기 때문이라고 설명했다. 며칠에서 몇 주에 걸쳐 공격이 지속되고, 원하는 정보를 얻은 후에는 공격 흔적을 정리하는 수법을 지속으로 사용해 왔다는 것이다.
이러한 공격 방식이 발견됨에 따라 카스퍼스키랩은 사이버 용병에 의한 APT공격을 수행하는 조직(APT-to hire)이 늘어날 것으로 예상했다.
이 회사는 주요 공격 내용에 대한 조사 결과 공격자들은 군사, 조선/해양, 컴퓨터/소프트웨어 개발, 연구 기업, 통신 사업자, 위성 통신, 대중 매체/TV 등을 주요 대상으로 했다.
유출된 주요 데이터는 피해자의 내/외부 네트워크에 접근할 수 있는 암호, 이메일 계정 자격 증명, 회사의 각종 기밀 문서 등이다.
스파이 활동 과정에서 공격자는 아이스포그라는 이름의 백도어 세트(일명 Fucobha)를 사용했으며, 마이크로소프트 윈도, 애플 맥 OS X에서 발견되고 있다.
심각한 점은 공격자가 피해자로부터 빼낼 정보가 무엇인지 잘 알고 있었다는 것이다. 특정 파일 이름으로 검색해서 빠르게 문서를 확인한 뒤 이를 공격자가 구축한 C&C서버로 전송했다.
카스퍼스키랩은 공격자가 사용한 70개 이상의 도메인 중 13개를 카스퍼스키랩의 싱크홀(함정) 서버로 유도해 공격을 분석해 피해자의 규모에 대한 통계를 확인했다고 밝혔다.
관련기사
- “해킹방지”…인터넷전화 보안인증 도입2013.09.26
- 2년간 해킹 유출된 개인정보 6천만건2013.09.26
- 해커에 뚫린 정부 해킹방어대회 사실이었다2013.09.26
- 시리아 전자군, 트위터·뉴욕타임스 해킹2013.09.26
이 회사는 아이스포그 C&C서버에는 공격자가 피해자에게서 수행한 다양한 작업 내역이 담긴 로그를 암호화해 보관하고 있었으며 이들 로그를 분석해 피해자를 식별했다고 설명했다. 이를 통해 우리나라, 일본 뿐만 아니라 중국, 미국 등 여러 국가들에게서 4천 개 이상의 고유한 감염 IP와 수백 명의 피해자(수십 명의 윈도 사용자, 350명 이상의 맥 OS X 사용자)를 파악했다.
카스퍼스키랩은 공격 인프라를 제어하고 감시하기 위해 사용된 IP 목록을 바탕으로 공격의 배후 중 일부가 한국, 중국, 일본에 근거지를 두고 있는 것으로 추정했다.
