한국의 방위산업체를 노린 신종 사이버 스파이 활동인 'Icefog'의 정체가 드러났다. 'Icefog'는 대한민국과 일본을 대상으로 공격의 초점을 맞춘 소규모 전문 APT 공격 조직으로 2011년부터 시작된 이 공격은 지난 수 년간 그 규모와 범위가 확대되었다.
 
카스퍼스키 랩의 글로벌 연구&분석 책임자인 코스틴 라우는 “지난 몇 년 동안 카스퍼스키랩은 거의 모든 분야를 대상으로 한 APT 공격을 확인했다. 대부분의 경우 공격자는 수 년간 기업과 정부 기관 네트워크에 발판을 두며 테라바이트 수준의 대규모 기밀 정보를 은밀히 유출했다”며 “이를 가능케 한 것은 'Icefog'의 치밀한 '치고 빠지기' 공격 방식 때문으로 공격은 보통 며칠 또는 몇 주 동안 지속되었고 원하는 정보를 얻은 후에는 공격 흔적을 삭제했다. 앞으로 이러한 '치고 빠지기' 공격 방식은 '사이버 용병'의 한 종류로 이를 전문으로 하는 소규모 'APT-to-hire'(용병에 의한 APT 수행) 조직이 늘어날 것으로 예상된다”고 말했다.
 
이번 조사 결과에 따르면, 확인된 공격 대상의 프로필을 근거로 공격자는 다음과 같은 분야에 관심을 가지고 있는 것으로 드러났다. 군사, 조선/해양, 컴퓨터/소프트웨어 개발, 연구 기업, 통신 사업자, 위성 통신, 대중 매체/텔레비전 등 다양한 분야다.
 
유출된 주요 데이터는 피해자의 내외부 네트워크에 접근할 수 있는 암호, 이메일 계정 자격 증명, 회사의 각종 기밀 문서 등이다.

 
스파이 활동 시 공격자는 “Icefog” 백도어 세트(“Fucobha”라고도 함)를 사용했으며, 마이크로소프트 윈도우와 맥 OS X 모두에서 Icefog 버전이 존재했다.
 
피해자는 몇 개월 또는 몇 년 동안 감염되어 있었으며 이 기간 동안 Icefog 운영자는 해당 피해자에게서 특정 정보만을 찾아 유출했다. 이후 원하는 정보를 얻은 후 유출 흔적을 지웠다.
 
또 대부분의 경우 Icefog 운영자는 대상 피해자로부터 빼낼 정보가 무엇인지 잘 알고 있었다. 특정 파일 이름으로 검색해 빠르게 문서를 확인하고 이를 공격자의 C&C 서버로 전송했다.
 
카스퍼스키랩은 공격자가 사용한 70개 이상의 도메인 중 13개를 카스퍼스키랩의 싱크홀 서버로 유도해 공격을 분석했으며 이를 통해 피해자의 규모에 대한 통계를 확인했다. 또한 Icefog 명령 및 제어(C&C) 서버에는 공격자가 피해자에게서 수행한 다양한 작업 내역이 담긴 로그를 암호화해 보관하고 있었으며 이들 로그를 분석해 피해자를 식별할 수 있었다고 밝혔다.
 
한편 대한민국, 일본뿐만 아니라 중국, 미국 등 여러 국가들에게서 4,000개 이상의 고유한 감염 IP와 수백 명의 피해자(수십 명의 윈도우 사용자와 350명 이상의 맥 OS X 사용자)를 파악했다.
 
카스퍼스키랩 관계자는 “공격 인프라를 제어하고 감시하기 위해 사용된 IP 목록을 바탕으로 이번 공격의 배후 중 일부는 적어도 중국, 대한민국, 일본에 그 근거지를 두고 있을 것으로 추정된다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com