미국 사이버보안 및 인프라 보안국(CISA)는 러시아 해커 조직이 북대서양조약기구(NATO, 나토) 회원국과 우크라이나를 지원하는 서방 기업을 표적으로 공격을 확대하고 있다는 내용을 담은 권고문을 21일(현지시각) 발표했다. 이번 권고문은 미국 국가안보국(NSA), 미 연방수사국(FBI), CISA를 비롯해 영국, 독일, 체코 등 사이버 보안 기관들이 공동으로 참여했다.
러시아군총정찰국(GRU) 산하 해킹 조직인 ‘APT28’은 ‘팬시 베어(Fancy Bear)’라는 이름으로도 알려져 있다. 권고문에 따르면 이들은 우크라이나를 지원하는 서방의 방위 산업체, 운송 시설, 해운 회사, IT 서비스 제공업체 등을 표적으로 삼았다. 사이버 공격은 무차별 대입 공격, 자격 증명을 탈취하고 악성 코드를 유포하는 스피어 피싱, 마이크로소프트 아웃룩 및 기타 소프트웨어 프로그램 취약점을 악용하는 방식을 혼합하는 등 여러 수법을 활용했다.
권고문에서 저자는 “사이버 간첩 활동은 이전에 공개된 전술적 공격(TTP)을 혼합해 사용하며, 우크라이나 및 나토 접경 국가의 IP 카메라를 대상으로 한 대규모 공격과 관련이 있을 가능성이 높다”고 분석했다.
예시로, 공격자들은 네트워크에 처음 접근 후, 열차 시간표 및 운송 명세서 등 운송 관련 정보에 접근할 수 있는 계정을 추가로 해킹했다. 이 계정은 우크라이나로 가는 지원 물품과 관련한 운송 정보가 포함되어 있었고, 해커들은 출발지와 목적지, 경로 정보와 화물 내용물 등 정보를 탈취했다. 서방 정부는 러시아가 기차역 인근 보안 카메라를 해킹해 우크라이나로 가는 화물을 추적한다고 추정했다.
권고문 저자는 “유사한 표적 해킹과 TTP 사용이 계속될 것으로 예상된다”며 러시아 해킹 조직의 사이버 스파이 활동을 경고했다. 또, “물류 기업 및 기술 기업의 네트워크 방어 담당자는 ‘팬시 베어’의 표적 공격 위협이 증가하고 있음을 인지하고, 알려진 TTP와 침해지표(IOC)에 대한 모니터링과 위협 탐지 강화, 표적 공격을 추정해 네트워크 방어 태세를 갖춰야 한다”고 덧붙였다.
글. 바이라인네트워크
<최가람 기자> ggchoi@byline.network
