보안 및 위협 관리 솔루션 전문기업 카스퍼스키 랩(www.kaspersky.co.kr)에서 적어도 5년 동안 여러 국가의 정부·외교 및 과학 연구 기관을 대상으로 한 새로운 첨단 사이버 스파이 활동을 밝혀냈다고 발표했다.
 
이 스파이 악성 코드는 서유럽과 북미를 포함한 전 세계에서 감염자가 발견되었지만, 주요 공격 대상은 동유럽 국가, 구 소련 및 중앙 아시아의 국가들로 나타났다. 공격자의 주요 목적은 보안에 취약한 기관으로부터 지정학적 정보, 기밀 정보 시스템에 접속할 수 있는 계정 정보 및 개인 모바일 기기와 네트워크 장비 정보 등의 내부 자료를 수집하는 것이었다.
 
이번 조사는 전 세계 외교 기관에 대한 컴퓨터 네트워크 공격이 연달아 발생함에 따라 2012년 10월에 Kaspersky Lab의 보안 전문가 팀이 분석을 시작했으며, 그 결과 대규모 사이버 스파이 네트워크를 밝혀낸 것. 분석 리포트에 따르면, 이 Red October(Rocra로 줄여 부름)는 2007년부터 활동하기 시작했으며 2013년 1월 현재도 여전히 활동하고 있다고 밝히고 있다.
 
◇주요 조사 결과
-Red October의 첨단 사이버 스파이 네트워크=공격은 적어도 2007년부터 시작되었으며, 각 국의 외교/정부 기관을 초점으로 연구 기관, 에너지/원자력 기관, 교역/항공 우주 산업 전반에 걸쳐 활동하고 있다. Red October 공격자가 직접 만든 “Rocra” 악성 코드는 모듈 형의 독특한 구조를 가지고 있으며 악성 확장 모듈, 정보 유출 모듈 및 백도어로 구성되어 있다.
 
또한 공격자는 감염된 네트워크에서 유출된 정보를 사용해 다른 기밀 시스템에 침입하기도 했다. 그 예로, 유출된 정보를 목록화한 후 공격자가 접근하고자 하는 시스템의 암호나 암호를 유추할 때 사용했다.
 
감염된 컴퓨터를 제어하기 위해 60개 이상의 도메인 이름을 새로 만들고, 여러 국가(대부분 독일과 러시아에 위치함)에 호스팅 서버를 두었다. Kaspersky Lab이 Rocra의 명령 제어(C&C) 인프라를 분석한 결과, 호스팅 서버는 별도의 프록시를 사용해 운영되어 메인 제어 서버의 위치 정보를 은폐했다.
 
-감염된 시스템에서는 다음 확장자의 문서가 유출=txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. 특히, “acid*” 확장자는 유럽 연합과 NATO 등의 여러 기관에서 사용되는 기밀 소프트웨어인 “Acid Cryptofiler”와 관련 있는 것으로 보인다.
 
-감염 방법=공격자는 특정 시스템을 감염시키기 위해 트로이목마가 포함된 스피어 피싱 이메일을 지속적으로 보냈으며 Microsoft Office와 Microsoft Excel의 보안 취약점을 악용해 악성 코드를 설치했다. 이러한 취약점을 악용한 공격은 아시아 지역의 군사/에너지 관련 시설뿐만 아니라 티베트 사회 운동가를 대상으로 한 다른 사이버 공격에서도 널리 사용되었다. 이번 공격에서 변경된 점은 감염을 유발한 문서의 실행 파일을 자신의 코드인 Rocra로 바꾼 것. 더불어, 트로이목마의 명령에 명령 프롬프트 세션의 기본 시스템 코드 페이지를 1251(키릴 문자 표시)로 변경했다.
 
-공격 대상=Kaspersky Lab 전문가는 피해 대상을 분석하기 위해 두 가지 방법을 사용했다. 첫 번째는 블랙 리스트와 휴리스틱 형태로 향상된 시스템 보호 기능을 제공하고 신종 바이러스를 빠르게 대응할 수 있게 고안되어 Kaspersky Lab 제품에 적용된 클라우드 기반 보안 서비스, Kaspersky Security Network(KSN)의 탐지 통계를 사용했다.
 
KSN은 이미 2011년부터 악성 코드에서 익스플로잇 코드를 탐지해 왔으며 그 덕분에 Kaspersky Lab의 전문가들이 Rocra와 관련 있는 악성 코드를 발견할 수 있었다. 두 번째는 싱크홀 서버를 만들어 Rocra의 C&C 서버와 접속된 감염 컴퓨터를 모니터링 하는 것. 두 가지 방법을 병행해 얻은 데이터는 두 가지 독립적인 방식의 조사의 연관성을 보여주며 그 분석 결과를 더욱 확실시 해 주었다.
 
·KSN 통계: KSN에서 얻은 데이터에서는 수 백대의 감염된 컴퓨터를 확인했으며 그 소유자는 대사관, 정부 기관, 과학 연구 시설, 영사관 등에 집중적으로 나타났다. 대부분 동유럽에서 감염이 발생했지만, 북미 및 스위스와 룩셈부르크 등 서유럽에서도 확인되었다.
 
·싱크홀 통계: Kaspersky Lab의 싱크홀 분석은 2012년 11월 2일부터 2013년 1월 10일까지 진행되었다. 이 기간 동안 39개의 국가에서 250개의 공격 IP 주소로 55,000번 이상의 접속이 탐지되었다. 공격 IP 접속의 대부분은 카자흐스탄, 그리스, 스위스였다.

 
-Rocra 악성 코드- 그 고유한 아키텍처 및 기능=공격자는 신속하게 감염된 컴퓨터에서 기밀 정보를 빼내고 시스템 별로 상이한 구성에 대응하도록 설계된 악성 파일과 몇 가지 확장 기능을 가진 멀티 공격 플랫폼을 만들었다. 이 플랫폼은 Rocra 악성 코드만의 특징이었으며 이전의 Kaspersky Lab에 의해 발견된 사이버 스파이 활동에서는 확인된 적이 없었습니다. 그 특징은 다음과 같다.
 
·"복원" 모듈: 공격자가 감염된 컴퓨터를 "복원"시킬 수 있는 고유한 모듈입니다. Adobe Reader와 Microsoft Office의 플러그인으로 위장하며, 이미 침투한 메인 악성 코드가 발견되어 삭제되었거나 시스템이 패치되어 있는 경우에도 공격 대상 시스템으로의 접속을 가능케 하는 루트를 만든다. C&C 서버가 작동하면 공격자는 다시 공격 컴퓨터에 악성 코드가 담긴 특정 문서 파일(PDF 또는 Office 문서)을 이메일로 보내 감염 상태로 다시 활성화시킨다.
 
·암호 스파이 모듈: 스파이 모듈의 주요 목적은 정보를 훔치는 것이다. NATO, 유럽 연합, 유럽 의회 및 유럽연합 집행위원회의 기관에서 2011년 여름 이후 민감한 정보를 보호하기 위해 사용하는 것으로 알려진 Acid Cryptofiler와 같은 다양한 암호화 시스템 파일을 대상으로 하고 있다.
 
·모바일 기기: 일반 워크스테이션을 대상으로 한 공격 외에도 악성 코드는 스마트폰(iPhone, Nokia, Windows Mobile 등)과 같은 모바일 기기의 데이터도 훔친다. 또한, 이동식 디스크에 있는 삭제된 파일뿐만 아니라 라우터와 스위치 같은 기업 내 네트워크 장비의 설정 정보 등의 기밀 정보도 빼낼 수 있다.
 
-공격자의 정체=C&C 서버의 등록 데이터와 악성 코드 실행에 따른 수 많은 흔적을 근거로 공격자가 러시아어를 구사하는 사람이라는 강력한 기술적인 증거가 있다. 게다가, 공격자가 사용한 실행 파일은 최근까지 알려지지 않았으며 이전의 사이버 스파이 공격에서도 Kaspersky Lab에 의해 발견되지 않았다.
 
Kaspersky Lab은 “국제 기관, 사법 당국 및 컴퓨터침해사고대응팀(CERT)과 협력하여 감염 복구 및 완화 절차에 대한 기술적인 전문 지식과 자원을 제공하고 있으며 Rocra에 대한 조사를 계속하고 있다”고 밝혔다.
 
현재 Kaspersky Lab 제품에서는 Rocra 악성코드를 성공적으로 탐지, 차단하고 있으며 Backdoor.Win32.Sputnik 진단명으로 분류하고 있다.
 
한편 이번 카스퍼스키 랩의 보다 자세한 Rocra 조사 보고서 전문은 Securelist.com에서 확인할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com