파이어아이, 개인 정보 유출 주범 이란계 사이버 첩보 조직 ‘APT39’의 활동 추적
파이어아이, 개인 정보 유출 주범 이란계 사이버 첩보 조직 ‘APT39’의 활동 추적
  • 최광민 기자
  • 승인 2019.01.30 17:55
  • 댓글 0
이 기사를 공유합니다

개인정보 유출의 주범인 이란계 사이버 첩보 조직임을 확인
APT39에 의해 표적으로하는 국가와 기업

인텔리전스 기반 보안 업체 파이어아이(지사장 전수홍)는 지난 2018년 12월 APT39가 광범위한 개인정보 유출의 주범인 이란계 사이버 첩보 조직임을 확인했으며 APT39의 활동으로부터 조직들을 보호하기 위해 2014년 11월부터 지금까지 이 조직과 관련된 활동을 추적하고 있다. 

APT39는 광범위한 개인정보 도난에 중점을 두고 있어, 영향 공작 (influence operations), 와해성 공격(disruptive attack) 및 기타 위협과 연관되어 파이어아이가 추적해온 여타 이란계 조직들과 구별되며, 이란의 국가적 우선순위와 관련된 모니터링, 추적, 또는 감시 작전에 도움을 주거나 미래의 공격활동을 용이하게 하기 위한 추가적인 액세스 및 요소(vector)의 개발 가능성을 도모하기 위해 개인정보에 초점을 두는 것으로 보인다.

APT39의 활동은 대중에게 '(Chafer)'라고 알려진 단체의 활동과 대체로 연관이 있지만, 각 단체 활동에 대한 추적 현황의 편차 때문에 공개적으로 알려진 내용에서 차이점이 있고, APT39는 주로 시위드(SEAWEED) 및 캐시머니(CACHEMONEY) 백도어와 ‘POWBAT’ 백도어의 특정 변종을 활용한다.

활동은 전 세계로 하지만 중동에 집중되어 있고, 통신분야에 우선순위를 두며 이를 지원하는 IT 기업, 첨단기술 업계와 여행업계도 표적으로 삼고있다.

파이어아이는 APT39의 공작들이 이란의 국익을 지원하기 위해 수행되고 있다고 어느 정도 확신하고 있으며, 이는 중동에 집중된 지역편중, 그리고 공개적으로 ‘오일리그(OilRig)’라고 보도된 세력과 대략적으로 공조를 이루는 APT34와 유사한 인프라, 활동 시기, 기타 유사점들을 근거로 한다. 

두 조직은  악성코드 배포 방식, POWBAT 백도어 활용, 인프라 명명법, 타겟 중복 등 일부 유사점을 보이지만 파이어아이는 APT39이 APT34와 다른 POWBAT 변종을 이용한다는 점에서 둘을 별개의 조직으로 파악하고 있고, 협력관계에 있거나 어느 단계에서 자원을 공유할 가능성이 있다고 밝혔다.

통신업체들은 대량의 개인 및 고객 정보를 보관하고, 통신에 이용되는 주요 인프라 접근이 용이하며, 다수의 업계에서 폭넓은 잠재적인 타겟에 대한 접근이 가능하기 때문에 주목받는 타겟이 되며, 파이어아이는 APT39의 표적이 통신 및 여행업계에 편중된 것이 미래의 공격을 원활히 하기 위한 감시 목적으로 관심 타겟에 대한 개인정보와 고객 데이터 수집하려는 의도를 반영한다고 보고 있다.

 

Tag
#N

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.