노벨륨이 다시 활동을 시작했다. 유럽연합과 NATO 회원국들의 외교 시설이 첫 번째 목표인 것으로 보인다. 하지만 캐나다에서도 이들의 흔적이 발견됐고, 따라서 이들의 표적은 지역 구분 없이 우크라이나를 지원하는 국가들일 수 있다는 분석도 나오고 있다.

[보안뉴스 문가용 기자] 러시아 정부가 악명 높은 APT 단체인 노벨륨(Nobelium)을 다시 한 번 동원하고 있다는 소식이다. 이번 공격 대상은 NATO 회원국들의 외교 조직이라고 한다. 여기에 더해 유럽연합과 아프리카와 관련이 있는 일부 조직들도 노벨륨의 공격을 받고 있다. 그 외 캐나다 사회 기반 시설에도 사이버 공격 시도가 발견되고 있는데, 이 역시 노벨륨과 관련이 있는 것으로 보인다.

[보안뉴스 / 4.18.] 솔라윈즈 사태 일으켰던 노벨륨, 유럽 외교 조직 염탐하기 위한 공격 벌여

[이미지 = utoimage]

이와 관련된 내용은 4월 13일 폴란드의 침해대응센터와 폴란드 군 방첩 조직에서 처음 발표했다. 유럽의 여러 조직들의 주의가 요구되기 때문이었다. 노벨륨이 유럽을 비롯해 여러 국가들의 외교 조직에 위협을 가한 것은 이번이 처음이 아니며, 특별히 3년 전 미국에서 시끄러웠던 솔라윈즈(SolarWinds) 사태를 일으킨 장본인인 것으로 유명하다. 즉 폴란드의 이번 경고는 유럽에 늘상 울렸던 사이렌과 다름이 없다는 것이다. 다만 이번에는 여러 가지 새로운 무기들을 들고 나타났다는 점에서 조금 다를 수 있다고 한다.

돌아온 노벨륨, 새로운 명령을 수행하다
폴란드 정부의 경고에 따르면 노벨륨은 스피어피싱 이메일 공격으로 침해를 시작한다고 한다. “노벨륨은 유럽 국가들의 대사관을 사칭한 이메일을 일부 외교부 요원들에게 보내고 있습니다. 외교와 관련된 중요한 사안이 발생했으니 업무를 공유한다거나 협업을 요청한다는 내용을 담고 있습니다. 중요한 국가적 사안에 참여하라는 일종의 초대장과 같은 것이죠.”

이 이메일에는 링크가 하나 걸려 있거나 PDF 파일이 첨부되어 있다. 공격자가 사칭한 대사관의 일정표라는 내용이라는 거짓말이 본문에 포함된다. 피해자가 여기에 속아서 링크를 누르거나 PDF를 열면 악성 사이트로 접속되고, 거기서부터 악성 스크립트가 로딩된다. 이 스크립트를 폴란드 군 요원들은 엔비스카웃(Envyscout)이라고 부른다. “엔비스카웃은 HTML 스머글링(HTML smuggling) 기법을 통해 피해자의 시스템에 설치됩니다. 탐지가 쉽지 않습니다.”

보안 업체 슬래시넥스트(SlashNext)의 CEO 패트릭 하(Patrick Harr)는 “스피어피싱 메일의 본문이 정성스럽게 작성되고, 피해자의 개인정보가 살짝 섞이면 꽤나 높은 확률로 피해자를 속일 수 있다”고 말한다. “노벨륨의 강점 중 하나가 바로 그것입니다. 가짜 이메일을 너무 잘 써요. 피해자들이 속기에 딱 좋은 글을 작성할 줄 압니다.”

심지어 스피어피싱 캠페인을 진행하면서 유연하게 멀웨어를 조정하기도 한다. 이번 캠페인에서 엔비스카웃이 세 번이나 개조되는 것을 폴란드 첩보 기관은 발견할 수 있었다고 한다. “매번 조정이 이뤄질 때마다 난독화 기술이 강화됐습니다. 공격을 진행하는 중에 더 강력한 눈 속임 장치가 필요하다고 판단했고, 그에 맞게 대처한 것으로 추정됩니다.”

스피어피싱을 통해 최초 감염에 성공한 다음(즉 엔비스카웃이 설치된 다음), 공격자들은 스노위앰버(Snowyamber) 다운로더의 변종인 할프리그(Halfrig)를 설치한다. 할프리그는 코발트 스트라이크라는 해킹 도구와 쿼터리그(Quarterrig)라는 멀웨어를 피해자의 시스템에 설치해 실행시킨다.

“공격자들은 점점 더 여러 단계로 나눠 공격을 진행합니다. 그래야 단계별로 상황이 발생할 때 유연하게 대처할 수 있고, 그럼으로써 공격 성공률을 높일 수 있기 때문입니다. 게다가 공격 프로세스를 나누면 나눌수록 탐지 확률도 떨어지죠.” 하의 설명이다. “현재 정부 기관들과 비영리 단체들이 주요 공격 대상인 것으로 파악되고 있습니다. 만약 노벨륨이 노릴만한 대상이라고 스스로 판단이 된다면 단계별로 멀웨어가 설치되는 것을 막기 위해 기존 설정들을 변경해야 할 것입니다.”

캐나다 기반 시설에도 러시아의 공격이
폴란드에서 경고가 나온 시기에 캐나다의 트뤼도 총리도 러시아 정부와 관련이 있는 사이버 공격자들의 움직임이 캐나다 사회 기반 시설에서 포착됐다고 발표했다. 전기 시설과 정부 웹사이트, 항구 시설, 금융 기관에 디도스 공격을 비롯해 여러 유형의 공격이 있었거나 시도되었다고 트뤼도는 밝혔다. 캐나다 정부는 우크라이나를 지원하는 것과 관련이 있는 시설 및 단체들이 주요 공격 대상이 된 것 같다고 분석하고 있다.

캐나다의 사이버사령부는 “시도는 있었지만 피해는 없었다”고 매체 인터뷰를 통해 주장했다. 다만 “위협과 악의가 존재한다는 건 분명한 사실”이라며 보다 견고한 방어 태세를 취해야 할 것이라고 촉구했다. “캐나다 국민들에게 의료 서비스나 전기, 인터넷과 통신 서비스를 제공하는 곳이라면, 조금의 불편이나 사회 혼란 상황이 야기되지 않도록 스스로를 보호해야 할 것입니다.”

3줄 요약
1. 솔라윈즈 사태 일으켰던 해킹 그룹 노벨륨, 유럽과 어쩌면 캐나다까지 노림.
2. 스피어피싱 공격으로 외무부 요원들 노리고, 최종적으로는 피해자 시스템에 공격 도구 설치.
3. 우크라이나 지원하는 것과 관련이 있는 단체들을 정찰하는 것이 주요 목표인 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>