보안 산업 동향

해킹 대국 Big 4 - 이란 편

북한, 이란, 중국, 러시아는 세계적인 해킹 대국입니다. 보안 업계는 이들 4개 국가를 Big 4로 꼽습니다. 지난 포스팅에 이어 Big 4에 당당히 이름을 올린 이란에 대해 알아보겠습니다. 참고로 본 포스팅은 FireEye 팟캐스팅 내용을 참조해 작성한 것입니다.

북한과 참 많이 닮은 이란

이란은 여러모로 북한과 유사합니다. 미국을 경제 제재를 받는다는 것부터 주변 국과 군사적 긴장 관계 속에 있다는 것까지 비슷한 점이 꽤 많습니다. 여기에 하나 더하자면 정부가 후원하는 공격 그룹을 키우고 있고, 이들을 중심으로 매우 활발하게 국익을 위한 해킹 활동에 나서고 있다는 것도 똑같습니다.

이처럼 북한과 닮은 꼴이다 보니 사이버 위협을 가하는 동기도 크게 다르지 않습니다. 북한과 마찬가지로 이란 역시 경제 제재 속에서 경제적 이익을 얻기 위한 활동에 적극적으로 나서고 있습니다. 그리고 적으로 삼고 있는 나라의 정부, 인프라, 산업을 타깃으로 삼고 있습니다. 몇 가지 최근 사례를 통해 이란의 해킹 활동의 추이를 살펴보겠습니다.

산업 공격부터 정치적 목적의 공격까지 관심사 다양

이란의 주요 공격 대상은 지역을 기준으로 보면 미국과 사우디아라비아, 이스라엘 같은 중동 및 아프리카 국가입니다. 그리고 산업을 기준으로 보면 주로 석유화학 분야를 타깃으로 삼습니다. 다음은 APT39의 주요 공격 대상 국가와 산업을 나타내는 지도입니다.

이란은 정보전(Information operations) 분야의 대가이기도 합니다. 조작된 정보를 바탕으로 자국의 이미에 긍정적인 영향을 주는 메시지를 전파하는 가 하면 미국 정치에 개입하는 등 활발히 활동하고 있습니다. 최근의 예는 지난해 미국 대선입니다. 극우 인사를 가장해 스푸핑 이메일을 보낸 것이 들켜 꽤나 시끄러웠죠. 2018년에는 반 사우디, 반 이스라엘, 친 팔레스타인 메시지를 담은 가짜 뉴스를 소셜 미디어를 통해 전파하기도 했습니다.

적대국을 향한 직접 공격도 꽤 빈번히 시도하고 있습니다. 주로 긴장 상황을 전후로 공격이 이루어지는 경향이 있습니다. 선제공격을 할 때도 있고, 제재를 받은 후 보복 공격을 할 때도 있습니다. 최근 소식으로 재작년에 미국 석유화합 업계를 타깃으로 공격을 시도한 것과 작년에 이란이 이스라엘의 용수 공급과 폐수 처리 시스템을 공격한 것이 있습니다.

협업을 통한 공격력 강화

이란 공격 그룹은 비밀번호 스프레잉(password spraying), 스피어 피싱, 사회 공학적 기법 등 다양한 수단을 이용해 위협을 가합니다. 이외에 주목할 것은 '협업'입니다. 이란 정부는 휘하에 있는 정부 지원 공격 그룹 간 협업을 통한 시너지 창출에도 관심이 많습니다. 2020년에는 이란 정부의 지원을 받는 공격 그룹으로 알려진 APT33, APT34가 협업을 하여 주요 VPN 솔루션의 취약점을 집중 공략한 바 있습니다.

이란에게 해킹은 아주 매력적인 수단입니다. 따라서 앞으로도 국제 무대에서 해킹 대국 이란의 위상은 흔들리지 않을 것으로 보입니다. 주요 적대 국가와의 정치적, 경제적 긴장 관계가 해소되지 않는 한 말이죠. 파이어아이는 지금까지 그러했듯이 이란의 주요 공격 그룹을 면밀히 관찰하는 가운데 최신 위협 인텔리전스를 강화하고 있으며, 블로그나 보고서를 통해 최신 동향을 전달하는 것도 게을리하지 않을 것입니다.