posted by 알짜 정보 岳岩 2019.05.14 07:41

한 번도 나타난 적 없던 그룹 라나...텔레그램 채팅 방에서 정체 드러나
누가 그랬을까?...동기조차 아직 알 수 없어...이란 해커들 움직임 느려져

[보안뉴스 문가용 기자] 새롭게 유출된 문서를 통해 여태까지 한 번도 세상에 공개되지 않았던 이란의 사이버 스파이 그룹 ‘라나(Rana)’의 정체가 드러났다. 뿐만 아니라 라나가가 운영되는 방식과, 라나의 공격 기법들이 상세하게 밝혀지기도 해, APT 단체 전반에 대한 개념을 얻을 수 있게 됐다. 

[이미지 = iclickart]


이 문서를 확인했다고 주장하고 있는 이스라엘의 보안 업체 클리어스카이 사이버 시큐리티(ClearSky Cyber Security)의 CEO 보아스 돌레브(Boaz Dolev)는 “공격자들의 생리와 운영 원리를 이렇게 들여다볼 수 있게 된다는 건 방어하는 입장에서 드물고 귀한 기회”라고 설명한다. “공격자들의 행동을 좇아가다보면 방어가 저절로 되는 걸 경험할 수 있을 겁니다.”
이란의 라나에 관한 문서가 텔레그램의 한 그룹 채팅방에서 공개된 것은 5월 5일의 일이다. 이 채팅방의 이름은 블랙박스(Black Box)였다. 이란의 해커 조직에 관한 내부 정보가 이렇게 공개된 건 최근에만 세 번째 일이다. 지난 4월, APT34 혹은 오일리그(OilRig)라고도 알려진 단체의 정보가 텔레그램의 랩 두크티간(Lab Dookhtegan)이라는 그룹 채팅방에서 유출됐었다. 며칠 후에는 텔레그램 내 또 다른 채팅방인 그린 리커스(Green Leakers)에서 머디워터(MuddyWater)라는 APT 그룹의 정보가 등장하기도 했었다.
보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 수석 연구원인 로버트 팔콘(Robert Falcone)은 “아직까지 공개된 문건들에 대한 진위 여부가 다 확인된 건 아니지만, 함께 공개된 툴들의 경우 우리가 여태까지 알고 있던 오일리그 등의 단체가 보여준 특성과 잘 맞아떨어지고 있다”고 말한다. 클리어스카이 측은 문건들의 진실성을 전부 확인한 상태라고 주장하고 있다. 
“유출된 정보에 따르면 라나의 해킹 및 사이버 정찰 행위들은 광범위하고 장기적인 목적을 성취하기 위해 이뤄지고 있는 것이라고 합니다. 이슬람 문화나 이슬람식 사고방식을 널리 퍼트리고, 적국이나 주요 국가들의 전략적 첩보와 기술 관련 정보를 모으며, 이란에 적대적인 세력을 감시하는 등 다양한 목적이 라나의 배경에 있었습니다.”
현재 라나를 비롯해 여러 이란 APT 단체들이 가장 많이 공격하고 있는 건 항공사들인 것으로 나타났다. 또한 정부 기관, 통신 업체, 전화기 사업자들도 주요 공격 대상이다. “이미 지난 몇 년 동안 이러한 조직들을 대상으로 공격들을 해왔고 성공적으로 침해한 경우도 꽤 되는 것으로 나타났습니다. 에티오피아 항공사, 말레이시아 항공사, 에어아시아(AirAsia), 필리핀 항공사, 타일랜드 항공사 등이 주요 피해자입니다.” 
이번에 유출된 문건들 중에는 2016년 3월과 8월 사이 라나의 활동에 대해 상세히 묘사된 보고서도 포함되어 있다. 이 기간 동안 라나는 카타르 항공사와 이스라에어(Israir), 터키 경찰국, 사우디아라비아의 한 보험사를 공격했다. 보고서에 의하면 라나는 이 조직들에 여러 번 침투했으며, 어떤 경우 웹사이트의 데이터베이스에 대한 전체 통제권을 가져오는 데 성공하기도 했었다. 수많은 사람들의 개인정보와 크리덴셜, 카드 정보가 새나갔다.
조심스런 준비 단계
클리어스카이가 봤을 때 가장 놀라운 건 라나의 준비성이다. “테헤란에 있는 국제 공항을 공격하기 전의 경우 직원들과 만나기까지 했습니다. 이를 통해 공항 시스템과 체크인 시스템에 대한 정보를 수집한 것이죠. 각종 보안 시스템은 물론이고요. 게다가 오라클(Oracle), SQL 서버(SQL Server) 등과 같은 데이터베이스도 조사하고 여러 가지 침투 기법을 연구해 적용한 것으로도 나타났습니다.”
2017년 3월과 8월 사이의 활동에 대한 보고서에 의하면 “쿠웨이트의 이메일 서비스 제공업체에 대한 공격이 있었다”고 한다. “당시 두 가지 팀으로 나눠서 공격을 실시했습니다. 해킹을 주로 하는 팀이 있었고, 소셜 엔지니어링을 담당한 팀이 있었습니다. 공격의 최종 목표는 쿠웨이트의 외교부였고요. 해킹을 담당했던 팀은 각종 침투 실험을 진행하고, 외교부의 IP 주소 지도를 완성해내는 것이었습니다. 이 과정에서 외교부 내 사용되고 있던 각종 애플리케이션들까지도 상세하게 조사됐습니다.”
결국 이렇게까지 외교부에 대한 조사를 상세히 실시한 건 인터넷으로 접근이 가능한 시스템을 정확히 알아내기 위한 것이었습니다. “이 정보는 나중에 소셜 엔지니어링 팀에게 넘겨졌고, 조직 내 특정 인물들을 대상으로 한 각종 소셜 엔지니어링 공격으로 이어졌습니다.” 이런 꼼꼼한 사전 준비는 대다수 APT 단체의 특징이기도 하다고 클리어스카이는 덧붙였다.
에티오피아 항공사와 말레이시아 항공사에 대한 공격에 대한 보고서도 있었다. 여기서 라나는 OT 시스템들에 대한 정보를 치밀하게 수집한 것으로 나타났다. 또한 주요 관리자들이 사용하던 데이터베이스들을 찾아내고, 그 외 인터넷에 노출된 시스템들도 하나하나 수집했다.
돌레브는 “문건의 내용을 살폈을 때 공격의 지속성이라는 측면에서 라나는 강점을 가지고 있는 것 같다”고 말한다. “라나는 사실 성공할 때까지 공격을 한다는 설명이 가장 잘 어울리는 단체입니다. 개개인 구성원의 신원을 다 알진 못하지만 암호화, 펌웨어, 멀웨어, 바이러스 전문가들인 것으로 보입니다. 또한 리눅스, 맥OS, 안드로이드, iOS, 윈도우 모바일 등 OS에 따라 팀이 나눠져서 운영되고 있는 것으로도 보입니다. 각종 외국어에 능통한 사람들도 다수 포진되어 있었습니다.”
라나의 표적들은 30개국이 넘는 것으로 나타났다. 대부분 아시아의 국가들이었다. 인도, 태국, 필리핀, 말레이시아, 인도네시아, 쿠웨이트를 비롯해 이집트, 남아프리카공화국, 뉴질랜드, 호주 등도 공격에 당했었다. 
돌레브는 “최근 이란의 APT 단체들의 내부 사정이 폭로되면서, 이란 해커들의 움직임이 느려지고 있다”고 말한다. “아직 유출을 하고 있는 사람들의 동기가 정확히 밝혀지지는 않았습니다. 또한 유출된 정보가 모두 공개된 것도 아닙니다. 이란의 해커들은 지금 세상이 어디까지 자신들에 대해 알고 있는지 정확히 알 수가 없는 상태입니다. 그래서 지금 조심스럽게 움직이는 듯 합니다.” 보안뉴스

3줄 요약
1. 누군가 이란 해킹 단체인 라나에 대한 정보를 공개함. 이란 해커의 정체가 노출된 건 이번이 세 번째.
2. 라나는 이번에 처음 공개된 APT 그룹으로 그 동안 여러 항공사들을 집중적으로 노려왔음.
3. 이란의 APT 단체들, 최근 들어 움직임 느려지고 있음. 이런 노출 사건으로 조심하는 듯.