[디지털데일리 홍하나기자] 보안업체 파이어아이는 지난 14일 고객사 가운데 스무곳 이상에서 새로운 피싱 활동을 감지했다고 22일 밝혔다.

이번 공격자는 특정 병원의 이메일 서버와 컨설팅 업체의 웹사이트를 해킹, 이들의 인프라를 이용한 피싱 이메일을 전송한 것으로 보인다. 해당 피싱 이메일은 미 국무성의 공보 담당자가 보낸 보안 커뮤니케이션인 것처럼 보이도록 조작됐다.

또한 다른 미 국무성 공보 담당자의 개인용 드라이브처럼 위장된 페이지에서 호스팅이 이뤄졌다. 미 국무성의 공식 양식이 사용됐다. 이러한 정보는 공개적으로 이용할 수 있는 자료를 통해 습득이 가능한 것으로, 미 국무성 네트워크가 이번 피싱 캠페인에 관여했다는 징후는 없다.

공격 단체는 피싱 이메일마다 고유 링크를 사용했으며, 파이어아이가 파악한 해당 링크는 하나의 압축(ZIP) 파일을 다운로드 하도록 사용됐다. 해당 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함됐다. 평범한 유인용 문서와 공격 단체가 정상적인 네트워크 트래픽 내에 숨어들 수 있도록 맞춤 구성된 코발트 스트라이크 비컨 백도어를 동시에 호출한다.

해당 피싱 이메일과 네트워크 인프라에 투입된 리소스, 공격용으로 조작된 바로가기 파일 페이로드의 메타데이터(metadata), 공격 대상이 된 개인 및 기관 등 이번 피싱 캠페인에서 발견된 몇 요소들은 2016년 11월에 마지막으로 관찰된 APT29의 피싱 캠페인과 직접적으로 연결된다.

2018년 11월 14일에 발생한 피싱 캠페인과 APT29의 소행으로 의심되는 2016년 11월 9일의 피싱 캠페인 간에는 모두 미국 선거 직후에 벌어졌다는 점 외에도 몇 유사성과 기술적으로 중첩되는 사항이 존재한다. 그러나, 최근 피싱 캠페인에는 동일한 시스템을 이용해 윈도우용 바로가기(LNK) 파일을 공격용으로 조작하는 등, 기존 피싱 TTP를 고의적으로 재사용한 것만큼 특이하고 새로운 요소도 포함되어 있다.

파이어아이에 따르면, APT29는 상당히 정교한 기술을 사용하는 공격자다. 비록 뛰어난 해커가 실수를 저지르지 않는 것은 아니나 노골적으로 보이는 실수는 러시아 정보 기관이 전통적으로 활용해온 속임수를 고려할 때 다소 의구심을 자아내게 한다. 또 APT29의 소행으로 판가름난 활동이 벌어진 지 1년이 넘어 이처럼 오랜 휴지기 후 이번 피싱 활동이 나타나게 된 시기와 유사성에 대해 의심을 갖게 된다.

파이어아이는 "목표 대상을 광범위하게 잡는다는 특성을 고려할 때, APT29의 공격 대상이었던 기관들은 이번 피싱 활동을 예의주시해야 한다"면서 "APT29가 파악하기 어렵고 교묘한 속임수에 능한 탓에 이들이 실제로 침입에 성공할 경우 가히 치명적이기 때문"이라고 밝혔다.

<홍하나 기자>hhn0626@ddaily.co.kr