러시아, 서방 핵심 기관 '디지털 공습'.. 해킹 그룹 스파이 활동 강화

[시큐리티팩트=최석윤 기자] 러시아 연계 해킹 그룹들이 우크라이나 전쟁 이후 서방 국가들을 대상으로 한 사이버 스파이 활동을 전면적으로 강화하고 있다. 마이크로소프트와 네덜란드 정보기관(MIVD)이 최근 각각 '보이드 블리자드(Void Blizzard)'와 '런드리 베어(Laundry Bear)'라는 이름으로 활동 클러스터를 공개하면서, 이들의 정교하고 집요한 공격 수법이 드러났다. 동시에 'TAG-110'으로 알려진 또 다른 러시아 연계 그룹 역시 중앙아시아 지역에서 스피어 피싱 캠페인을 벌이는 등, 러시아의 정보 수집 활동은 전방위적으로 확대되는 양상이다. 이들은 단순한 해킹을 넘어, 지정학적 긴장과 우크라이나 전쟁이라는 복잡한 국제 정세 속에서 러시아의 전략적 목표를 달성하기 위한 '디지털 전쟁'의 첨병 역할을 하고 있다.

'보이드 블리자드', 러시아 정부 '스파이 활동' 대리자

27일(현지시각) 로이터 통신 등 외신에 따르면, 마이크로소프트는 최근 '보이드 블리자드(Void Blizzard)'라는 이름의 러시아 연계 위협 행위자 집단을 공식적으로 문서화하고 이들의 악성 활동 클러스터를 상세히 공개했다. 이들은 적어도 지난해 4월부터 활동해왔으며, 주로 유럽과 북미 지역의 정부, 국방, 교통, 미디어, 비정부기구(NGO), 의료 부문 등 러시아 정부의 전략적 목표에 중요한 조직들을 대상으로 스파이 활동을 벌이고 있다.

'마이크로소프트 위협 인텔리전스(Microsoft Threat Intelligence)' 팀 보고서에 따르면, 보이드 블리자드는 주로 온라인 마켓플레이스에서 구매한 것으로 추정되는 '도난당한 로그인 정보'를 이용해 조직에 침투한다. 일단 시스템에 발을 들이면, 이들은 엄청난 양의 이메일과 파일을 빼돌린다.

특히 이들의 공격은 북대서양조약기구(NATO) 회원국과 우크라이나를 불균형적으로 겨냥하는 것으로 나타났다. 이는 러시아가 자국의 전략적 목표 달성을 위해 필요한 정보를 적극적으로 수집하고 있음을 시사한다. 우크라이나에 직접적인 군사적, 인도주의적 지원을 제공하는 NATO 회원국 및 관련 국가의 정부 기관, 법 집행 기관이 주요 표적이다. 또한 우크라이나의 교육, 교통, 방위 분야에 대한 공격도 성공적으로 감행한 것으로 알려졌다. 2022년 러시아 총참모 주요정보국(GRU)과 연계된 '시셸 블리자드(Seashell Blizzard)'의 표적이 되었던 우크라이나 항공 조직의 여러 사용자 계정이 2024년 10월 보이드 블리자드에 의해 추가로 침해된 사례도 있다.

'세탁소 곰'의 교활한 수법, 사회공학적 공격과 취약점 악용

보이드 블리자드의 공격은 '기회주의적이고 대규모 표적 노력'으로 특징지어진다. 초기 접근 방식은 비밀번호 스프레이(Password Spraying)나 도난당한 인증 정보(Stolen Credentials)와 같은 비교적 정교하지 않은 기술로 시작된다. '비밀번호 스프레이'는 여러 계정에 대해 소수의 흔한 비밀번호를 대량으로 시도하는 방식이다.

하지만 일단 초기 접근에 성공하면 그들의 수법은 더욱 교활해진다. 일부 캠페인에서는 사이버 범죄 지하 시장에서 구할 수 있는 '상용 정보 탈취 멀웨어(Infostealer Malware)' 로그에서 추출된 도난당한 인증 정보를 이용해 '익스체인지 온라인(Exchange Online)' 및 '셰어포인트 온라인(SharePoint Online)'에 접근, 침해된 조직에서 대량의 이메일과 파일을 수집했다.

마이크로소프트는 "위협 행위자가 경우에 따라 공개적으로 사용 가능한 '애저 하운드(AzureHound) 도구'를 사용하여 손상된 조직의 'Microsoft Entra ID(구 Azure Active Directory)' 구성을 열거했다"고 밝혔다. 이는 해당 테넌트(조직의 클라우드 서비스 환경)에 속한 사용자, 역할, 그룹, 애플리케이션, 장치에 대한 정보를 얻기 위함이다. 마치 내부 구조도를 파악하듯 네트워크의 지형을 스캔하는 것이다.

'애저 하운드'는 마이크로소프트의 클라우드 플랫폼인 Azure(애저) 환경에서 잠재적인 공격 경로(Attack Paths)와 권한 에스컬레이션(Privilege Escalation) 취약점을 찾아내고 분석하는 데 사용되는 오픈 소스 도구이다.

최근에는 '스피어 피싱(Spear Phishing)' 이메일을 통해 피해자들을 속여 로그인 정보를 빼내는 '중간자(AiTM, Adversary-in-the-Middle)' 피싱 공격으로 전환하는 모습도 관찰되었다. 이 활동에는 '타이포스쿼트(Typosquatting) 도메인', 즉 실제 사이트 주소와 비슷하게 오타를 유도하는 가짜 도메인('micsrosoftonline[.]com'처럼 'microsoftonline'을 가장)을 사용하여 마이크로소프트 엔트라 인증 포털을 가장한 피싱 페이지를 만들었다.

예를 들어, 유럽과 미국에 있는 20개 이상의 NGO를 대상으로 '유럽 방위 안보 정상회의(European Defense and Security Summit)'의 주최자가 보낸 것처럼 위장한 스피어 피싱 이메일을 보냈다. 이 이메일에는 가짜 정상회담 초대장이 담긴 PDF 첨부파일이 포함되어 있었는데, PDF 문서가 공격자가 제어하는 피싱 도메인으로 연결되도록 설계되어 있었다. 이 피싱 페이지는 오픈 소스 피싱 키트인 'Evilginx'를 기반으로 하는 것으로 추정된다.

Evilginx는 사이버 공격자들이 피싱 공격에 사용하는 강력한 오픈 소스 도구이다. 특히, 사용자들이 계정에 로그인할 때 추가 인증 단계를 거치는 '다단계 인증(MFA)'을 우회하는 데 특화되어 있다.

초기 접근 권한을 얻은 후, 이들은 익스체인지 온라인(Exchange Online) 및 마이크로소프트 그래프(Microsoft Graph)를 악용하여 사용자의 메일함 및 클라우드 호스팅 파일을 열거하고, 자동화된 스크립트를 이용해 대량의 데이터를 수집했다. 일부 사례에서는 웹 클라이언트 애플리케이션을 통해 '마이크로소프트 팀즈(Microsoft Teams)' 대화 및 메시지에도 접근했다고 한다.

마이크로소프트는 보이드 블리자드가 포레스트 블리자드(Forest Blizzard), 미드나잇 블리자드(Midnight Blizzard), 시크릿 블리자드(Secret Blizzard)와 같은 다른 잘 알려진 러시아 국가 해킹 그룹의 과거 또는 현재 표적과 겹치는 경우가 많다고 지적했다. 이러한 교차점은 이들 위협 행위자들의 상위 조직에 할당된 공통된 스파이 및 정보 수집 목표를 시사한다. 실제로 네덜란드 국방정보보안국(MIVD)은 '런드리 베어(Laundry Bear)'라는 이름으로 보이드 블리자드의 활동을 특정하며, 2024년 9월 23일 네덜란드 경찰 직원 계정이 '쿠키 패스(Pass-the-cookie) 공격'을 통해 유출된 사건이 이들의 소행이라고 밝혔다. 쿠키 패스 공격은 공격자가 정보 스틸러 멀웨어를 통해 얻은 도난된 쿠키를 이용해 사용자 이름과 비밀번호 없이도 계정에 로그인하는 방식이다. MIVD 국장은 "런드리 베어는 서방 정부의 군사 장비 구매 및 생산, 그리고 우크라이나에 대한 서방의 무기 공급에 대한 정보를 찾고 있다"고 명확히 밝혔다.

'TAG-110'의 은밀한 확장.. 중앙아시아를 넘어

27일 해커뉴스는 '보이드 블리자드' 또는 '런드리 베어'가 주로 유럽과 북미에 초점을 맞추는 동안, 또 다른 러시아 연계 해킹 그룹인 'TAG-110'(일명 UAC-0063)은 중앙아시아 지역에서 은밀한 사이버 스파이 작전을 수행하고 있다고 밝혔다. 리코디드 퓨처(Recorded Future)의 인시크트 그룹(Insikt Group)에 따르면, TAG-110은 최근 타지키스탄을 대상으로 스피어 피싱 캠페인을 벌였다.

이들은 과거 매크로 지원 워드 템플릿을 초기 페이로드(악성코드)로 사용했으며, 이번 캠페인에서는 HTML 애플리케이션(.HTA) 로더인 'HATVIBE'를 활용했다. TAG-110은 적어도 2021년부터 활동해왔으며, 중앙아시아와 동아시아, 유럽의 공공 부문 기관과 유럽 대사관을 표적으로 삼는 것으로 알려졌다. 2023년 5월에는 루마니아 사이버 보안 회사인 비트디펜더(Bitdefender)에 의해 카자흐스탄과 아프가니스탄 정부 기관을 대상으로 한 '다운엑스(DownEx)' 전달 캠페인과 관련해 러시아 국가 해킹 조직인 APT28과 중복되는 활동을 문서화한 바 있다.

TAG-110의 최신 캠페인은 HTA가 포함된 스피어 피싱 첨부 파일을 통해 배포되는 HATVIBE에서 매크로 지원 워드 템플릿(.DOTM) 파일을 사용하는 등 전술의 진화를 보여준다. 피싱 이메일은 타지키스탄 정부를 주제로 한 문서를 미끼 자료로 사용했는데, 이는 과거에 트로이 목마로 처리된 합법적인 정부 문서를 멀웨어 전달 벡터로 사용했던 방식과 유사하다. 일단 감염에 성공하면, VBA 매크로가 자동 실행되어 문서 템플릿을 마이크로소프트 워드 시작 폴더에 배치하고, 명령 및 제어(C2) 서버와 통신을 시작하여 추가 악성 코드를 다운로드한다.

리코디드 퓨처는 TAG-110의 과거 활동과 도구 세트를 볼 때, 성공적인 초기 접근은 HATVIBE, CHERRYSPY, LOGPIE와 같은 추가 멀웨어의 배포 또는 스파이 활동을 위한 새로운 맞춤형 페이로드 배포로 이어질 가능성이 높다고 경고한다. 이는 러시아 해킹 그룹들이 전 세계적으로 다양한 전술과 목표를 가지고 사이버 스파이 활동을 확장하고 있음을 시사한다.

끝나지 않는 디지털 전쟁.. 사이버 보안 강화 시급

러시아 연계 해킹 그룹들의 이 같은 활동은 우크라이나 전쟁이라는 복잡한 지정학적 상황 속에서 정보 획득 중요성이 얼마나 커지고 있는지를 단적으로 보여준다. 이들은 단순히 사이버 범죄를 넘어, 국가 전략적 이익을 위한 정보 수집이라는 명확한 목표를 가지고 움직인다. 특히 서방 정부의 군사 장비 조달, 생산, 그리고 우크라이나에 대한 무기 공급과 관련된 정보는 러시아에게 매우 중요한 전략적 자산이 될 수 있다.

이번에 공개된 '보이드 블리자드'와 'TAG-110'의 활동은 러시아 연계 해킹 그룹들이 가진 특징을 명확히 보여준다.

지속적인 위협: 이들은 단발성 공격이 아니라 최소 수개월에서 수년간 지속적으로 활동하며 표적을 노린다.

다양한 전술: 비밀번호 스프레이와 같은 단순한 수법부터 고도화된 스피어 피싱, 중간자 공격, 그리고 시스템 취약점 악용까지 다양한 공격 방식을 조합한다.

지정학적 목표: 러시아 정부의 전략적 이해관계와 밀접하게 연결되어 있으며, 특정 국가나 기관, 산업 분야를 표적화한다.

정보 수집의 자동화: 대량의 데이터를 효율적으로 수집하기 위해 자동화된 도구와 스크립트를 적극적으로 활용한다.

다른 해킹 그룹과의 연관성: 여러 러시아 연계 해킹 그룹들이 유사한 표적과 목표를 공유하며, 상호 협력하거나 정보를 교환할 가능성이 높다.

정부 기관, 국방 관련 기업 등 다단계 인증 의무화해야

이러한 위협에 대응하기 위해서는 무엇보다 강력한 사이버 보안 조치가 필수적이다. 정부 기관, 국방 관련 기업, 그리고 우크라이나 지원에 직간접적으로 관여하는 모든 조직은 다음과 같은 대응책을 강화해야 한다.

다단계 인증(MFA) 의무화: 비밀번호 유출 시에도 추가적인 인증 단계를 통해 무단 접근을 차단해야 한다.

직원 보안 교육 강화: 스피어 피싱, 타이포스쿼트 등 사회공학적 공격에 대한 직원들의 인식을 높이고 의심스러운 이메일이나 링크는 절대 클릭하지 않도록 교육해야 한다.

최신 보안 패치 및 업데이트: 운영체제, 애플리케이션, 시스템을 항상 최신 상태로 유지하여 알려진 취약점을 보완해야 한다.

강력한 엔드포인트 보안 솔루션 도입: 악성코드 탐지 및 차단, 이상 행위 감지 등 엔드포인트 단에서의 보안을 강화해야 한다.

네트워크 접근 제어 및 모니터링: 무단 접근 시도를 실시간으로 감지하고 차단할 수 있는 시스템을 구축하고, 비정상적인 네트워크 트래픽을 지속적으로 모니터링해야 한다.

위협 인텔리전스 공유 및 활용: 마이크로소프트나 네덜란드 정보기관처럼, 각국의 사이버 보안 기관과 기업들은 위협 정보를 적극적으로 공유하고 이를 바탕으로 효과적인 방어 전략을 수립해야 한다.

우크라이나 전쟁은 단순히 물리적인 전장뿐만 아니라, 보이지 않는 사이버 공간에서도 치열한 싸움이 벌어지고 있음을 여실히 보여준다. '세탁소 곰'과 'TAG-110' 같은 러시아 연계 해킹 그룹들의 지속적이고 진화하는 공격은 서방 국가들에게 사이버 보안의 중요성을 다시 한번 상기시키며, 끝나지 않을 디지털 전쟁에 대한 철저한 대비를 요구하고 있다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기