지난 2년간, 레바논 해커그룹이 10개국의 수백여 개 국방관련기관, 통신사, 언론 및 교육기관을 공격한 것으로 드러났다.
 
보안전문가들은 공격행위를 발견 후, 이 그룹을 “Volatile Cedar”라고 부르기 시작했다. 최초 공격행위는 2012년에 시작되었지만, 백신의 탐지를 우회하기 위해 공격도구를 지속적으로 수정해온 것으로 드러났으며 최근에서야 발견되었다. 다수 해커그룹과 달리 “Volatile Cedar”는 스피어 피싱 또는 웹사이트에 바이러스를 설치 후 다운로드 등 기법을 사용하지 않았으며 주요 공격대상은 웹사이트 서버이다.
 
모 보안업체에서 발표한 보고서를 보면 공격자는 취약점 스캐너와 수작업을 결합해 웹사이트 어플리케이션 취약점을 찾아 침입을 시도한다. 만약 침입에 성공한 서버가 마이크로소프트의 IIS 웹서버 소프트웨어를 사용하면, 공격자는 특정 윈도우 백도어 프로그램 “Explosive”을 설치한다.
 
이 프로그램은 키보드 기록과 기타 정보절취 기능을 가지고 있으며, “Volatile Cedar”가 흔히 사용하는 공격도구 중 하나이다. 이들은 “Explosive”을 사용하여 침입한 서버에서 관리자 키보드기록을 포함한 각종 정보를 절취 후 목표 도메인의 기타 서버를 감염시킨다. 또한 최신버전의 “Explosive”는 USB도 감염시킨다. 이밖에 피해 서버 중에서 지정포트 스캐너와 기타 도구의 흔적을 발견하였기 때문에 보안전문가들은 최초 감염서버를 거점으로 모든 네트워크 침입을 시도하고 있다고 판단했다.
 
또한 “Explosive”는 자신의 행위를 감추는 작업을 중요시한다. 주기적으로 바이러스 탐지결과를 확인하며, 대응하는 피해 서버에 설치한 백도어 프로그램 버전을 업데이트한다. 따라서 과다 메모리 소모로 인하여 의심을 줄이기 위한 자체 감시기능을 가지고 있다. 게다가 외부와의 통신이 필요하지 않을 때 “무선침묵상태”에 돌입한다. 이 침묵과정은 사전에 파일설정을 통하여 이루어지기 때문에 직접 정의가 가능하며, 주기적으로 제어 서버의 통신 상황을 체크한다. 마지막 백도어 프로그램은 하드코딩 된 서버와 다이나믹 업데이트 서버에 통신을 시도하며, 만약 실패하면 도메인 네임 생성 알고리즘을 사용하여 새로운 서버를 검색한다.
 
이밖에 “Explosive”는 윈도우(windows) 서버에만 설치가 가능하지만 리눅스(linux)서버를 공격해 웹쉘(webshell)을 설치한 상황도 발견되었다. 이 과정에서 제로데이(0day) 취약점이 이용되었을 가능성도 배제할 수 없다.
 
다수 피해 서버는 레바논에 존재하지만, 터키, 이스라엘, 영국, 일본, 미국과 기타 국가들에서도 피해기관이 발견되었다. 보안전문가는 “피해자 수가 수백에 달하며, 현재 데이터 수집 중이기 때문에 구체적인 수량과 지리적 위치는 공개할 수 없다”고 밝혔다.
 
배후 서버 주소와 도메인 네임 후이즈(whois) 기록 및 기타 기술적인 수단으로 수집한 증거자료에 따르면 공격자는 레바논에 위치했으며, 공격자의 움직임이나 규모를 보면 정부 또는 정치단체의 지원을 받을 가능성도 존재한다.
 
(뉴스제공: 국내 최대 중국 해킹 보안 정보 서비스 기업 씨엔시큐리티 / www.cnsec.co.kr)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com