새로운 공격 단체가 발견됐다. 원래는 털라인 줄 알았는데, 여러 가지 분명한 차이점이 있어 털라라고 결론을 내리기 힘들어졌다. 이 새 공격자들은 토미리스라고 하며, 어떤 지점에서는 털라와 완전히 다르기도 하지만 어떤 지점에서는 비슷하기도 하다.
[보안뉴스 문가용 기자] 러시아의 APT 단체인 털라(Turla)가 진행했던 공격이라고 여겨졌던 것이 전혀 새로운 그룹의 소행인 것으로 밝혀졌다. 이 새 그룹의 이름은 토미리스(Tomiris)로, 현재까지 한 번도 그 존재가 발표된 적이 없다.
![[보안뉴스 / 4.25.] 러시아의 털라인 줄 알았더니, 새로운 공격 단체 토미리스](http://www.boannews.com/media/upFiles2/2023/04/880287171_8937.jpg)
[이미지 = utoimage]
털라는 스네이크(Snake), 베노머스베어(Venomous Bear), 오우로부로스(Ourobouros)라는 이름으로 불리는 해킹 단체로, 러시아 정부와 관련이 깊은 것으로 알려져 있다. 지난 수년 동안 각종 제로데이 취약점을 익스플로잇 하고, 정상 소프트웨어를 침해하는 등 여러 가지 방법으로 러시아에 적대적인 나라의 조직들을 침해하고 백도어를 심고 정보를 캐왔다. 이들이 주로 사용해 왔던 백도어 중에는 카주아(Kazuar)라는 것이 있다.
하지만 카주아가 사용된 모든 공격이 이 털라에 의한 것은 아닌 것으로 보인다고 보안 업체 카스퍼스키(Kaspersky)가 최근 발표했다. 토미리스(Tomiris)라는 해킹 그룹도 이 카주아를 사용해 왔다는 사실이 최근 밝혀졌다는 것이다. 토미리스는 털라와 전혀 다른 별개의 그룹으로, 털라와 다른 전략과 기술, 공격 프로세스를 활용하고 있다.
카스퍼스키의 수석 연구원인 피에르 델처(Pierre Delcher)는 “현재까지 조사된 내용을 미루어 봤을 때 털라와 토미리스는 별개의 그룹일 가능성이 높다”고 말한다. “어쩌다 일부 공격 도구가 겹치는 일이 있긴 한데, 전반적으로는 다른 전략, 다른 도구를 써서 다른 표적을 공략합니다. 또한 해킹 실력의 수준에서도 분명한 차이가 보입니다. 털라가 훨씬 앞서갑니다.”
사이버 공간에서 범인을 지목한다는 건 매우 어려운 일이다. NSA의 전 운영 국장인 아담 플래틀리(Adam Flatley)는 “실력이 좋은 공격자들은 스스로를 감추기 위해 다른 공격 단체의 전략을 흉내 내거나, 다른 공격 단체가 한 것처럼 보이는 증거를 일부러 흘리기도 한다”며 그 이유를 설명한다. “그러므로 사이버 사건을 조사하다가 발견한 증거들을 곧이 곧대로 믿을 수 없습니다.”
카스퍼스키가 토미리스가 일으킨 사건을 조사하기 시작한 건 3년 전의 일이다. 구 소련 국가의 정부 기관을 상대로 누군가 DNS 하이재킹 공격을 실시한 것이었다. 공격의 수법이나 도구, 전략 등을 조사했을 때 러시아 APT 단체의 느낌이 물씬 풍겼다고 한다. 그러다가 카주아 백도어가 발견됐고, 카스퍼스키는 털라를 의심하기 시작했다.
하지만 확신하기에는 일렀다. 카주아를 예전에 털라가 사용했다는 정보 외에 다른 정보들이 더 필요했다. 모인 정보는 여태까지 카스퍼스키가 알던 털라의 그것과는 사뭇 달랐다. 털라라고 하기에는 ‘어설픈’ 모습들이 많이 나타난 것이었다. “카주아 외에는 털라를 가리키는 정보가 하나도 없어 보였습니다. 구 소련 국가가 공격 대상이었다는 것도 털라답지 않았고요.”
사이버 보안 사건에서 ‘공격 대상’은 공격자가 누구인지 가려내는 중요한 힌트 역할을 한다. “토미리스는 주로 구 소련 국가들을 공격합니다. 러시아 연방도 포함됩니다. 반면 털라는 오히려 러시아의 지원을 받는 공격자라는 의심을 받고 있죠. 러시아 정부에 적대적인 국가를 노리는 게 보통입니다. 그러니 털라와 토미리스를 같은 세력이라고 보기에는 무리가 있다는 결론을 저희는 내리게 되었습니다.”
참고로 또 다른 보안 업체 맨디언트(Mandiant)의 경우도 최근 털라가 진행한 캠페인에 대한 보고서를 발표하면서 “털라라고 강력히 의심되긴 하지만 기존 털라와 다른 면모도 상당히 존재한다”고 쓴 바 있다.
그렇다고 털라와 토미리스가 아예 관계가 없다고 결론을 내리기도 어려운 상황이다. 둘을 연결 지을 만한 요소들도 존재하기 때문이다. 2021년과 2023년 사이에 토미리스는 코피루왁(KopiLuwak)과 터너스셰드(TunnusSched)라는 멀웨어를 활용한 바 있는데, 이 두 멀웨어는 털라의 대표적인 공격 도구다. 델처는 “두 조직이 어느 시점에 상호 협력했던 것으로 의심한다”고 말한다. “그 협력 관계가 지금에 와서 끝났는지 아닌지는 확실치 않습니다.”
토미리스의 등장, 기업에 어떤 의미인가?
공격 배후 세력을 엄밀히 구분해 낸다는 것은 보고서 작성에만 유용한 것은 아니다. 실질적인 방어 전략을 수립하는 데에도 도움이 된다고 델처는 강조한다. “예를 들어 어떤 조직이 털라의 공격에 당했거나 털라의 공격에 당할 것이 크게 염려되는 상황이라고 합시다. 그런 조직이 카주아를 발견했다면 털라의 공격이 시작됐다고 여기게 되겠죠. 그러면서 털라와 관련된 모든 첩보와 침해지표를 모으고 분석해 방어를 시작할 겁니다.”
그러나 공격자가 털라가 아니라 토미리스였다면 그 모든 방어의 노력이 물거품으로 돌아갈 확률이 높아진다. “토미리스와 털라의 공격 패턴이 정확히 일치하지는 않거든요. 중요한 지점에서 완전히 다른 면모를 보일 수도 있습니다. 특정 멀웨어나 침투 기법이 달라질 수도 있고요. 그러니 배후 세력을 정확히 알면 알수록 방어에 큰 도움이 됩니다.”
3줄 요약
1. 털라인 줄 알았던 일부 해킹 캠페인, 알고 보니 다른 그룹이 배후에 있었음.
2. 이 새 그룹의 이름은 토미리스이며, 털라와는 전혀 다른 지향점을 가지고 있는 듯.
3. 다만 공격 도구에서 겹치는 부분이 있어 연관성을 완전히 배재하기는 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 4.25.] 러시아의 털라인 줄 알았더니, 새로운 공격 단체 토미리스](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
