[CIOCISO매거진 김은경 기자] 한 번도 공개되지 않은 해킹 단체가 중동의 통신사들을 집중적으로 공격하고 있다는 소식이다. 공격자들의 목적은 첩보 수집인 것으로 파악되고 있다고 보안 업체 센티넬원(SentinelOne)이 밝혔다. 센티넬원은 WIP26이라는 이름을 붙이며 이들을 추적 중에 있다고 하며, 현재까지 수집한 증거들로서는 그 동안 정체가 드러난 사이버 공격 단체들과 연결 짓기 힘들다고 한다.

WIP26은 공공 클라우드 인프라를 활용해 멀웨어를 유포하거나 빼돌린 정보를 저장하는 중이라고 한다. C&C 서버로서 활용하기도 한다. 공공 클라우드 인프라를 공격에 활용하는 건 최근 여러 공격 단체에서 차용하는 전략으로, 탐지 솔루션을 보다 효과적으로 회피할 수 있도록 해 준다는 장점을 가지고 있다. 잘 들키지 않으므로 보다 많은 시간을 공격에 활용할 수 있게 된다.

“WIP26의 이러한 모습은 공격자들이 공격 전략과 기법을 계속해서 바꾸고 진화한다는 사실을 잘 보여주고 있습니다. 새로 발견된 단체일 수도 있고 아닐 수도 있지만 어느 쪽이든 결국 새로운 전략이나 방법론을 들고 나타났기 때문에 확실하게 파악이 되지 않는 것이죠.”

중동 통신사들을 겨냥
센티넬원 측에서 접한 WIP26의 공격은 주로 왓츠앱이라는 메신저 앱에서 시작된다고 한다. “중동 통신사에서 근무하는 개인들이 주로 표적이 되고 있습니다. 공격 대상자들에게 메시지를 보내는 것인데요, 메시지에는 드롭박스에 저장된 아카이브로 연결되는 링크가 포함되어 있습니다. 얼른 보기에는 중동 지역의 빈곤 문제를 해결하기 위한 논문으로 보이지만 실상은 멀웨어 로더가 설치된다.

이 멀웨어를 통해 결과적으로는 두 개의 백도어가 피해자의 시스템에 설치된다. 하나는 CMD365라는 것으로 마이크로소프트 365 메일 클라이언트를 C&C로 활용한다. 다른 하나는 CMD엠버(CMDEmber)로 구글 파이어베이스 인스턴스를 C&C로 활용한다. 둘의 목적은 정보 수집으로 동일해 보인다.

센티넬원은 WIP26에 대해 “백도어를 통해 각종 정보를 수집하며, 권한을 상승시키기도 하고, 추가 멀웨어를 설치하기도 한다”고 설명한다. “사용자의 브라우저 데이터, 네트워크 내 고가치 장비들에서 수집한 정보, 그 외 기타 민감 데이터를 수집합니다. 이들이 가져간 정보를 봤을 때, 미래에 본격적인 공격이 있을 가능성이 높은 것으로 판단됩니다. 즉, 후속 공격을 위한 ‘준비’ 단계에서 이들이 활동한 것으로 의심된다는 뜻입니다.” 하지만 그 공격이 어떤 형태로 나타날지는 아직 알 수 없다.

통신사, 스파이들이 가장 선호하는 표적
지난 몇 년 동안 해커들은 통신사들을 부지런히 노려왔다. WIP26은 많은 공격자들 중 일부일 뿐이다. 최근에는 호주의 통신사인 옵터스(Optus), 텔레스트라(Telestra), 다이얼로그(Dialog)가 연쇄적으로 침해되기도 했었다. 이런 공격의 배후에 있는 자들의 목적은 대부분 돈이었다. 현대 사회에서 생활을 영위하는 사람들은 거의 대부분 통신사의 고객일 수밖에 없기 때문에 통신사에서 고객 정보를 훔쳐내면 개인정보를 풍성하게 가져갈 수 있다는 것을 노린 것이다. 그 외에 심스와핑(SIM Swapping)이라는 공격을 할 만한 정보도 손에 넣을 수 있게 된다.

하지만 원래부터 정찰과 스파잉을 목적으로 하는 공격자들이 주로 통신사들을 노려 왔었다. 통신사를 통해 특정 부류의 사람이나 특정인을 감시하고 추적하기 위해서다. 중국과 튀르키예, 이란 등은 통신 업자들의 네트워크에 곧잘 침투하여 인권 운동을 벌이거나 정부에 반대하는 인사들을 염탐하는 것으로 알려져 있다.

얼마 전 한 중국의 해킹 그룹이 세계 여러 통신사들을 침투하는 작전을 펼친 바 있다. 이 작전에는 소프트셀작전(Operation Soft Cell)이라는 이름이 붙었다. 공격자들은 특정 인물들을 추적하기 위해 특정 통화 데이터 및 기록들을 계속해서 수집했다. 라이트베이진(Light Basin)이라는 공격 단체의 경우 13개의 주요 통신사들로부터 IMSI와 각종 메타데이터를 훔쳐내는 데 성공했었다. 심지어 통신사 네트워크에 멀웨어를 심어 통화와 문자를 가로채기도 했었다.