러시아 해커들이 상업 스파이웨어 익스플로잇을 사용 - 구글 발표

러시아 해커들의 문제

[목차]

• 1. 개요
  • 1-1. 상업 스파이웨어 벤더란?
  • 1-2. 이번 사례의 배경
• 2. APT29와 그들의 행적
  • 2-1. APT29란?
  • 2-2. Cozy Bear와 Midnight Blizzard
• 3. 익스플로잇 사례 분석
  • 3-1. CVE-2023-41993
  • 3-2. CVE-2024-5274 및 CVE-2024-4671
• 4. 익스플로잇 코드 비교
• 5. 백도어 가능성

1. 개요

1-1. 상업 스파이웨어 벤더란?

상업 스파이웨어 벤더(CSV, Commercial Surveillance Vendor)는 일반적으로 정부 기관이나 법 집행 기관을 위해 특정 목적의 스파이웨어, 해킹 툴, 익스플로잇 등을 개발하여 판매하는 업체를 말합니다. 이러한 벤더들은 보안 취약점을 찾아내고 이를 무기화하여 특정 소프트웨어나 시스템을 공격하거나 감시하는 데 사용됩니다.

1-2. 이번 사례의 배경

최근 구글의 위협 분석 그룹(TAG)은 러시아 정부 후원의 해커 그룹인 APT29가 Intellexa와 NSO Group과 같은 상업 스파이웨어 벤더가 개발한 익스플로잇을 사용하고 있다는 증거를 발견했습니다. 이번 사례는 상업 스파이웨어 벤더가 개발한 해킹 툴이 악의적인 목적으로 사용될 수 있다는 우려를 증폭시키고 있습니다.

2. APT29와 그들의 행적

2-1. APT29란?

APT29, 또한 Cozy Bear나 Midnight Blizzard라는 이름으로 알려진 이 해커 그룹은 러시아의 정보 기관인 SVR(러시아 해외정보국)을 위해 활동하는 것으로 널리 알려져 있습니다. 이들은 고도의 해킹 기술을 바탕으로 주요 정부 기관 및 민간 기업을 공격해 왔습니다.

2-2. Cozy Bear와 Midnight Blizzard

Cozy Bear는 2016년 미국 대선 해킹 사건을 통해 대중에게 널리 알려졌으며, Midnight Blizzard는 다수의 해킹 캠페인을 통해 국제적인 유명세를 얻게 되었습니다. 이들은 주로 취약점을 이용해 목표 대상의 시스템에 침투합니다.

3. 익스플로잇 사례 분석

3-1. CVE-2023-41993

첫 번째 사례는 러시아 해커들이 몽골 정부의 웹사이트(mfa.gov[.]mn 및 cabinet.gov[.]mn)를 이용해 웹킷(WebKit) 브라우저 엔진의 치명적 취약점인 CVE-2023-41993을 악용한 것입니다. 이 취약점을 통해 브라우저 쿠키를 탈취하고, 온라인 계정에 접근하려고 했습니다.

3-2. CVE-2024-5274 및 CVE-2024-4671

두 번째 사례는 2024년 7월에 발생한 공격으로, APT29는 다시 몽골 정부의 웹사이트(mga.gov[.]me)에 익스플로잇을 심었습니다. 여기서 사용된 취약점은 CVE-2024-5274 및 CVE-2024-4671입니다. 이 취약점들은 각각 구글 크롬 브라우저의 보안 취약점을 이용한 것입니다.

4. 익스플로잇 코드 비교

구글 TAG의 Clemence Lecigne에 따르면, APT29가 사용한 익스플로잇 코드는 상업 스파이웨어 벤더들이 사용한 코드와 매우 흡사합니다. 아래의 그림은 같은 코드가 어떻게 사용되었는지를 나타냅니다:

 

이와 같은 코드 유사성을 통해, 상업 스파이웨어 벤더가 개발한 기술이 어떻게 악의적인 해커 그룹에 의해 재사용되는지를 알 수 있습니다.

5. 백도어 가능성

APT29가 이러한 익스플로잇을 어떻게 획득했는지는 확실치 않지만, 이는 상업 스파이웨어 벤더 내부의 악의적인 인사나 중개인, 또는 코드 유출 및 구매를 통해 이뤄졌을 가능성이 있습니다. 이번 사건은 상업 스파이웨어 벤더들이 처음 약속한, '선의의 사용'이 지켜지지 않을 위험성을 다시 한번 상기시켜줍니다.

이번 구글의 발표는, 상업 스파이웨어 벤더들로부터 개발된 익스플로잇이 해킹 그룹에 의해 어떻게 악용될 수 있는지를 명확히 보여줍니다. 따라서 글로벌 보안 커뮤니티는 이러한 위험에 대해 더욱 경계하고, 보다 강력한 보안 대책을 마련해야 할 것입니다.