대형 국방 업체들이 손을 잡고 조인트 벤처를 시작했고, 해커들이 그 벤처 업체를 뚫었다. 그리고 여러 정보들을 빼돌렸는데, 현재 다크웹에서 판매 중에 있다. 이미 구매자가 한 사람 이상 있는 것으로 보인다. 공격자들은 기밀이 있다고 하고, 업체는 없다고 주장하는 중이다.
[보안뉴스 문가용 기자] 유럽 미사일 시스템 업체 한 곳에서 데이터가 유출되는 사건이 발생했고, 이 사건에 대해 NATO가 수사를 시작했다. 이미 공격자들은 데이터를 다크웹에 판매하기 시작했다. 현재 러시아와의 전쟁에서 우크라이나 측이 사용하고 있는 무기들의 청사진이 포함되어 있는 정보라고 한다. 피해를 입은 무기 시스템은 MBDA 미사일 시스템즈(MBDA Missile Systems)이며, 다크웹에 판매되고 있는 정보가 자신들의 것임을 인정했다.
MBDA 측은 다크웹에서 공개된 정보들을 검토했다며 “아직까지 기밀로 분류할 만한 정보는 찾지 못했다”고 주장했다. 또한 공격자들이 외장 하드 드라이브 하나를 확보한 것으로 보인다며 “내부 네트워크에 침투하지는 못한 것으로 추정된다”고 설명하기도 했다. NATO는 이러한 주장들을 전부 접수했으며 사실 여부를 확인 중에 있다고 발표했다. MBDA와 관련된 NATO 네트워크 역시 무사한 것으로 보인다고 한다.
MBDA는 8월 초 한 범죄 조직에 의한 해킹 공격에 당했다고 발표하며 “협박을 당하고 있다”고 주장한 바 있다. 공격자들은 돈을 요구했고, MBDA는 응하지 않았다. 그래서 현재 정보가 다크웹에서 판매되고 있는 것이다. 판매되는 것은 80GB 정도의 데이터이며, 러시아와 영어를 기반으로 한 포럼에 약 15 비트코인의 가격이 책정되어 있다. NATO의 수사 과정을 인용한 BBC는 이미 누군가 이 정보를 구입했다고 한다.
현재 NATO는 침해가 최초로 발생한 곳으로써 MBDA의 서드파티 업체 한 곳을 후보로 올려놓고 조사를 진행 중에 있다. MBDA는 에어버스(AirBus), BAE 시스템즈(BAE Systems), 레오나르도(Leonardo)라는 대기업들이 공동으로 시작한 조인트 벤처다. 클라이언트가 전 세계 곳곳에 있고, 각종 파트너사들과도 복잡하게 얽힌 관계를 자랑한다. 그렇기에 서드파티와 관련한 사고가 일어났다고 해도 이상할 것이 없다.
기밀과 우크라이나
해커들은 광고를 통해 “비공개 군사 프로젝트에 참여한 직원들 관련 기밀들과 설계 문서와 초안, 각종 프레젠테이션, 영상, 사진, 계약서 자료 등”이 포함되어 있다고 주장하고 있다. 그러면서 50MB의 샘플 파일을 공개했다. Land Ceptor Common Anti-Air Modular Missile이라는 대공 미사일류 무기의 청사진과 정확한 전자 스토리지 유닛의 위치가 포함된 정보였다. 현재 이 미사일 중 일부는 미국에서 폴란드로 수송되고 있고, 폴란드에서 우크라이나로 제공될 예정이다.
이것이 어쩌면 공격자들이 MBDA를 공격한 이유일 수도 있다. 돈을 요구한 건 눈속임이나 부차적인 목적을 달성하기 위한 것일 수 있다는 뜻이 된다. 즉 러시아에 친화적인 공격 단체가 이번 러시아-우크라이나 전쟁에서 러시아가 우위를 점할 수 있도록 편을 들어주고 있다는 것이다. 실제로 러시아를 지지한다고 선언한 사이버 공격 단체들도 적지 않고, 러시아 정부도 이미 각종 해킹 부대를 운영하고 있다. 정부 후원을 받는 APT가 돈을 요구하는 척하며 일반 사이버 범죄 부대를 흉내 내는 전략은 이미 여러 번 사용되어 온 적이 있다.
BBC가 확인한 샘플 데이터에는 NATO Confidential이라든가 NATO Restricted 혹은 Unclassified Controlled Information과 같은 라벨이 붙어 있는 문건들이 제법 섞여 있었다고 한다. 즉 NATO와 관련된 기밀들도 포함되어 있을 가능성이 있다는 것이다. 심지어 MBDA에서 제작된 장비의 세부 그림도 포함되어 있음을 BBC가 확인한 것으로 보인다.
이러한 보도들이 연이어 나오자 공격자들은 BBC에 따로 여러 문서들이 포함된 이메일을 보내기도 했다고 한다. NATO SECRET이라는 라벨이 붙어 있었으나, 공격자는 이 문건의 출처를 분명하게 밝히지는 않았다.
이런 상황이지만 MBDA 측은 “현재까지 공개된 정보들 중 기밀이나 민감한 내용을 담고 있는 문서는 하나도 없는 것으로 확인되었다”고 발표했다.
3줄 요약
1. 한 사이버 공격 단체가 MBDA라는 거대 국방 조인트 벤처를 공격하고 협박.
2. MBDA가 응하지 않자 공격자들은 빼돌린 정보를 판매하기 시작.
3. 각종 NATO 관련 기밀들이 포함되어 있어 보이지만 아직 확인되지 않은 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181718-500x383.png)
![[보안뉴스 / 6.1.] 렘코스·폼북 등 악성코드 유포 파일 역할… 닷넷 패커의 정체](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181402-500x383.png)
![[보안뉴스 / 6.5.] 새로운 리눅스 랜섬웨어 블랙수트, 로얄과 유사한 점 많아](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-142556-500x383.png)
![[보안뉴스 / 8.30.] NATO, 얼마 전 발생한 국방 기업체 해킹 사건 조사 시작](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
