[디지털데일리 이종현기자] 남유럽 발칸반도에 위치한 국가, 알비니아의 정부가 지난 7월 해킹으로 주요 공공 서비스 및 웹사이트를 폐쇄했다. 공격 배후로는 이란이 지목됐다.

8일 사이버보안 기업 맨디언트는 알바니아 정부 조직을 타깃으로 삼은 이란의 위협 행위자에 대한 분석 내용을 공개했다.

맨디언트에 따르면 7월 18일 알바니아 정부는 악의적인 사이버공격에 의해 온라인 공공 서비스 및 기타 정부를 일시적으로 폐쇄한다는 성명을 발표했다. 22일에는 로드스윕(ROADSWEEP)이라는 랜섬웨어 샘플이 알바니아 퍼블릭 악성코드 리포지토리에 올라왔는데, 해당 랜섬웨어가 설치되면 ‘두러스(Durres) 테러리스트의 이익을 위해 우리 세금을 쓰이는 이유는 무엇입니까’라는 문구가 출력된다. 두러스는 알바니아서 인구가 2번째로 많은 도시다.

알비니아 현지인으로 추정되는 이는 정부를 타깃으로 한 랜섬웨어 공격 소식을 전하기도 했다. 랜섬웨어 실행 관련 비디오를 공유했는데, 이란 반체제 단체 무자헤딘에할크가 알바니아에 거주한다는 내용을 담은 정부 문서도 공개됐다.

맨디언트는 위협 행위자가 소유한 것으로 추정되는 인프라에서 정보화 파일을 수집한 결과 로드스윕이 2012년 사용된 침니스윕(CHIMNEYSWEEP)이라는 백도어와 코드를 공유하는 것으로 파악했다. 두 악성코드는 2012년까지 페르시아어, 아랍어 사용자를 대상으로 하는 위협에 활용됐다.

맨디언트 위협 인텔리전스 부사장 존 헐트퀴스트(John Hultquist)는 “이 사건은 이전에 중동에 집중되었던 이란의 파괴적인 사이버 위협 활동이 확대된 것”이라며 “가짜로 조작된 인물에 의한 유사한 잠금 및 유출(lock and leak) 캠페인이 이스라엘에서 반복적으로 진행됐다. 북대서양조약기구(NATO) 회원 국가를 표적으로 한 이번 캠페인은 공격 대상을 전 세계로 확대해 사이버 공격 능력을 활용하려는 의지의 표명일 수 있다”며 우려를 표했다.

알바니아가 타깃이 된 것은 지난 7월 23일부터 24일까지 자유 이란 세계 정상 회담(World Summit of Free Iran)이 두러스에서 열린 영향도 있는 것으로 보인다. 정치적 동기를 배경으로 이란 야당 단체 회의가 열릴 예정이던 주에 NATO 회원국의 정부 사이트와 시민 서비스를 대상으로 한 랜섬웨어를 이용한 파괴적 작전도 진행됐다는 설명이다.

맨디언트는 보고서를 통해 “이란이 앞으로 사이버 공격에 대한 자제력을 잃을 가능성이 있어 보인다. 이번에 식별한 위협 행위는 NATO 회원국을 대상으로 수행해온 파괴적인 사이버 작전을 알바니아까지 지리적으로 확장한 것이라 할 수 있다. 이번 사례를 통해 이란의 이익에 반하는 행동을 하는 국가에 대한 파괴적 활동이 증가하였음을 알 수 있다”고 전했다.