[디지털데일리 홍하나기자] 러시아 정부 지원을 받는 해커그룹이 주요 기반 시설에 영향을 미친 악성코드를 제작했다는 주장이 제기됐다.

파이어아이는 기반 시설의 산업 제어 시스템(ICS)을 공격하는 악성코드 트리톤 침입이 사이버 첩보조직인 템프벨레스의 활동과 연관이 있으며, 이 조직이 러시아 정부가 소유한 연구 기관과 관련이 있다고 30일 밝혔다.

파이어아이는 트리톤 설치를 위한 침입활동을 이끈 곳이 모스크바에 위치한 러시아 정부 소유의 중앙화학역학과학연구소(CNIIHM)일 가능성이 매우 높다고 판단했다. 최근 파이어아이는 템프벨레스의 활동을 지원하는 가능성이 높은 악성코드 개발 활동을 발견했다. 이러한 활동에는 템프벨레스의 트리톤 침입 시 사용된 일부 악성 소프트웨어(SW) 버전의 테스트도 포함됐다.

테스트 활동을 조사한 결과, 다수의 독립적인 활동이 러시아, CNIIHM, 러시아에 있는 특정 개인으로 이어진 것으로 나타났다. 해당 인물의 온라인 활동에서 CNIIHM과의 밀접한 연관성도 발견했다. 또 CNIIHM에 등록된 IP주소가 트리톤의 오픈 소스 탐지, 네트워크 정찰, 트리톤 침입을 위한 악성 활동 등 템프벨레스의 다양한 목적 달성을 위해 사용됐다. 템프벨레스의 활동에서 관찰된 행동 패턴은 CNIIHM이 위치한 모스크바의 시간대와 일치한다.

따라서 파이어아이는 CNIIHM이 트리톤의 오케스트레이션과 개발, 그리고 템프벨레스의 운영을 지원하기 위한 기관급 지식과 인력을 보유하고 있는 것으로 판단했다. 비록 파이어아이는 CNIIHM의 직원이 상사의 허가 없이 템프벨레스의 활동을 추진했을 가능성도 배제할 수 없으나, 조사에 따르면 이러한 경우는 템프벨레스가 연구소의 후원으로 활동했을 타당성보다는 낮다고 밝혔다.

또 파이어아이는 CNIIHM과 연결된 테스트 활동, 악성코드 아티팩트, 악의적인 행위가 있는 가능성도 제기했다. 여러 정황상 이 활동이 러시아에서 비롯되고 있으며, CNIIHM과 관련이 있다고 전했다.

<홍하나 기자>hhn0626@ddaily.co.kr