[데이터넷] 모바일 악성코드가 정부 후원을 받는 사이버 공격 단체의 APT 공격에 이용되는 정황이 발견됐다. 블랙베리 사일런스의 ‘모바일 멀웨어 보고서’에 따르면 공격자들이 데스크톱과 안드로이드용 멀웨어를 활용해 사이버 스파이 활동을 하고 있는 것으로 나타났다.
보고서에서 소개한 사례 중 BCY-TA2라는 공격 집단은 윈도우 멀웨어 PWNWIN1과 안드로이드 멀웨어 PWNDROID3를 활용한다. PWNWIN1은 비트코인 캐싱 애플리케이션을 모방한 가짜 모바일 애플리케이션을 통해 배포되고 잇으며, 오퍼레이션 듀얼크립토이엑스(OPERATION DUALCRYPTOEX)라는 크로스 플랫폼에서 유행하고 있다
APT 공격그룹 오션로투스(OCEANLOTUS)의 오퍼레이션 오션모바일(OPERATION OCEANMOBILE)은 정교하게 개발된 위조 모바일 애플리케이션을 통해 안드로이드 멀웨어 PWNDROID1를 배포하고 있다.
카슈미르 위기와 관련하여 주목받았던 콘푸시우스(CONFUCIUS)의 크로스 플랫폼 오퍼레이션 칼파크2(OPERATION CUALPAK2)는 채팅 애플리케이션의 자바스크립트 버전을 통해 배포된 윈도우 멀웨어 PWNWIN2을 활용해 파키스탄 정부와 군대를 대상으로 활동하는 것으로 드러났다.
APT 그룹 비터(BITTER)의 오퍼레이션 듀얼파크(OPERATION DUALPAK)는 파키스탄 군대를 대상으로 하고 있으며, 가자 애플리케이션, SMS, 왓츠앱, 기타 소셜 미디어 플랫폼을 통해 배포되는 PWNDROID2라는 모바일 멀웨어를 활용하고 있다.
블랙베리 사일런스는 이 보고서에서 “모바일 디바이스의 종류가 다양해질수록 이용자가 저장해둔 민감한 데이터에 접근 역시 신속하고 용이해지고 있다. 또한 정부 차원에서 지원해 활동하는 APT의 범위가 이전에 알려진 것처럼 공격에만 한정된 것이 아니라 훨씬 더 광범위하다는 것을 알 수 있다”며 “APT 그룹이 기존 데스크톱 멀웨어 캠페인과 함께 모바일 멀웨어를 적극적으로 사용하고 있으며, 대상이 뚜렷하게 다른 경우에도 공격 인프라를 공유하고 있고, 일부 APT는 초점을 국내에서 해외로 바꾸고 있다”고 설명했다.
에릭 코넬리우스(Eric Cornelius) 블랙베리 사일런스 최고 기술 책임자는 “이 보고서는 모바일 공격이 이전에 예상했던 것보다 훨씬 더 만연해있음을 증명한다”며 “모바일 멀웨어를 탐지하고 방지하기 위한 효과적인 보안 솔루션의 부재라는 고질적인 문제로 인해 지금까지 모바일 사용자들이 APT 그룹의 손쉬운 목표가 되어 왔다”고 밝혔다.
그는 또한 “모바일 사용자들을 대상으로 한 캠페인이 얼마나 체계적으로 오랫동안 지속되어왔는지에 대한 이번 연구 결과는 많은 사람들을 놀라게 할 것”이라고 덧붙였다.
모바일로 확산된 국가 기반 공격
이 조사는 블랙베리 사일런스가 중국, 이란, 북한, 베트남과 연관이 있는 APT 그룹에 의한 모바일과 모바일·데스크톱 캠페인은 물론 정부 차원에서 진행된 두 개의 정체불명의 위협 요인(threat actors)을 조사한 것으로, 경제 또는 정치적 목표를 위한 국내외 사용자를 대상으로 실시했다.
이 보고서에서 언급한 정부 후원 공격 사례 중 BBCY-TA3는 BBCY-TA2와 함께 서구 및 남아시아에 위치한 다양한 국가의 통신 관련 기업뿐만 아니라, 중국을 제외한 거의 모든 국가의 화학 제조 회사 등 공격 인프라를 공유하고 있는 대상에 대한 경제 스파이 활동에 참여하는 것으로 나타났다.
브라이언 로비슨(Brian Robison) 블랙베리 최고 보안 책임자는 “조직과 소비자 모두 자신의 정보뿐만 아니라 그들이 거주하는 국가의 안전과 보안에 어떤 의미가 있는지에 대해 심각하게 고민을 해야한다“며 이번 연구 결과를 통해 “모바일 기기를 대상으로 하는 익스플로잇 시장이 급격히 성장해온 것이 분명해졌으며, 블랙베리가 발견한 데스크톱 멀웨어 캠페인과 관련 있는 모바일 멀웨어의 규모를 통해 여러 국가에서 모바일 캠페인이 진행되고 있음이 극명하게 드러났다”고 전했다.
그는 또한 “기업은 모바일 환경을 보호하고 안전하게 만들기 위해 최첨단 기술을 활용하는 것이 필수”라고 강조했다.
