정용환 기자
위성 회선을 이용해 서버 위치를 감추면서 정부기관을 노린 사이버 공격 집단인 툴라(Turla)가 훔친 데이터를 저장하는데 온라인 스토리지 드롭박스를 이용하던 게 발견됐다.
보안 기업 ESET 연구원이 지금까지 문서화되지 않은 백도어 악성코드와 문서 절도 도구를 발견한 것. 이 악성코드는 제작자에 의해 크러치(Crutch)라는 명칭이 부여되어 있다. 크러치를 조사한 결과 툴라가 2016∼2017년에 쓰던 2단계 백도어 악성코드 게이저(Gazer) 사이에 유사한 부분이 존재한다고 한다. 툴라가 이용한 악성코드는 다른 그룹과 공유된 것으로 크러치는 툴라 이용 악성코드인 것으로 밝혀졌다.
크러치는 툴라가 사용하는 다른 도구와 마찬가지로 특정 대상에만 사용되는 게 시사되고 있으며 2015∼2020년 초반까지 사용되고 있었던 게 확인됐다. 한편 한 시스템에선 크러치와 3단계 백도어 악성코드인 팻듀크(FatDuke)가 동시에 존재하는 것으로 확인됐다. 악성코드 2개에 상호 작용을 나타내는 흔적이 아니라 각각 독립적으로 동일 시스템을 공격했을 가능성이 있다고 한다.
ESET에 따르면 툴라는 EU 소속 국가 외무부의 여러 컴퓨터에 크러치 도구 세트를 사용한다고 한다. 도구는 툴라 운영자가 관리하는 드롭박스 계정 기밀문서와 기타 파일을 유출시키도록 설계되어 있었다.
또 크러치는 1단계 백도어가 아닌 공격자가 네트워크에 침입을 완수한 이후 배포 도구라고 볼 수 있다. 2015∼2019년까지 백도어 명령 버전 1∼3이 이용된 후 2019년 백도어 명령 지원을 종료하고 로컬 드라이브와 이동식 드라이브에 파일을 자동으로 드롭박스에 업로드하는 버전 4가 등장했다. 이번 발견은 툴라가 크고 다양한 도구를 운용하기에 충분한 자원을 보유한 조직이라는 인식을 더 강화하는 것이라고 설명하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
