[디지털데일리 이종현기자] 미국 국방부 사이버보안 부서는 13일 이란 정보보안부(MOIS) 관련 해킹그룹 ‘머디워터(MudyWater)’가 악성 프로그램을 통해 스파이 및 해킹 활동을 수행하고 있다고 발표했다.

미국 사이버 사령부 대변인은 머디워터가 이란 정보보안부 산하에서 운영되고 있으며 국내 감시를 통해 정치적 반대자를 식별한다고 전했다. 또 이란이 대사관에 배치한 요원 네트워크를 통해 해외 반체제 활동가를 감시하한다는 의회 조사국 연구를 인용했다.

해당 발표와 관련 사이버보안 위협 인텔리전스 기업 맨디언트는 자체적으로 TEMP.Zagros라고 명명한 해킹그룹이 머디워터이며, 2017년 5월부터 추적해왔다고 밝히며 관찰한 내용을 공개했다.

맨디언트에 따르면 머디워터, 시드웜(Seedworm)이라고도 불리는 해당 그룹은 북미, 유럽, 북아프리카, 코카서스, 남아시아, 서아시아, 동남아시아에서 ▲정부 ▲미디어 ▲에너지 ▲기술 ▲유틸리티 ▲교통 ▲학계 ▲금융 서비스 ▲통신 ▲건설 및 엔지니어링 등 부문에 걸쳐 수십개의 조직에 대한 공격을 이어왔다.

맨디언트는 이란의 국가적 이익과 의사결정을 지원하기 위해 지리, 외교, 국방, 에너지 관련 정보를 수집하는 것으로 추정된다고 밝혔다. 또 통신 기업을 대상으로 하는 공격은 주요 목표에 대한 접근권한과 다른 침투 활동을 쉽게 하기 위함으로 분석했다.

머디워터는 악성코드가 포함된 마이크로소프트 오피스 파일과 같은 악성 첨부 파일을 다운로드하거나 열도록 유도하는 등의 방법을 활용하는 것으로 전해진다. 최근 몇 개월간은 코로나19 팬데믹을 유인 테마로 이용했다.

맨디언트 위협 인텔리전스 수석분석가 사라 존스는 “이란은 사이버 스파이 활동, 사이버 공격 및 정보작전을 수행하는 복수의 팀을 운용 중이다. 안보기관인 정보보안부와 이란 정예군 혁명수비대(IRGC)는 경쟁자에 대한 우위를 점하기 위해 이 팀들을 활용하고 있다”고 말했다.

이란 측은 이와 관련 별도의 논평을 하지 않은 것으로 전해진다.