이원영 기자
보안 기업인 센티넬원(SentinelOne)이 2022년 2월 9일 적어도 10년 이상 인도 인권 활동가와 저널리스트를 범죄자로 만들어온 해커 집단인 모디파이드엘리펀트(ModifiedElephant) 관련 보고서를 발표했다.
이번에 발표된 모디파이드엘리펀트는 특정 그룹 시스템에 범죄 증거가 되는 위조 파일을 넣는 공작을 한 해커 집단이다. 방법은 처음에는 파일명.pdf.exe 같은 이중 확장자가 있는 파일을 보내는 간단한 것이다.
하지만 2015년에는 악성코드 동작을 숨기는 가짜 문서 파일을 비밀번호로 암호화한 RAR 파이렝 넣고 2019년에는 클라우드 호스팅 서비스를 악용한 악성코드 호스팅을 시작했다. 2020년에는 300MB 가량 대용량 RAR 파일을 이용해 스캔을 피하는 방법을 써서 대상 시스템에 악성 파일을 숨기고 있었다.
모디파이드엘리펀트로부터 피해자에게 보내진 피싱 이메일에는 정당하게 보이는 수신자 목록이나 전송 이력, 본문 문장 등 정당성을 위장하기 위한 어프로치가 다수 사용되고 있었다고 한다. 또 가짜 문서 내용은 정치적 관련성을 볼 수 있기 때문에 모디파이엘리펀트는 특정 그룹을 노린 활동을 했다고 추정된다.
모디파이드엘리펀트 활동이 밝혀진 건 2018년 1월 인도 마하아슈트라주에서 발생한 친정부와 반정부 충돌이 계기다. 5명이 부상입고 1명이 사망한 소동으로 현지 경찰은 인도 과격파 조직 구성원을 다수 체포해 압수한 PC에서 모디 총리 암살 계획을 비롯한 범죄 증거를 발견했다고 발표했다.
이후 피고 등이 증거 감정을 의뢰한 미국 포렌식 기업인 아스날컨설팅(Arsenal Consulting)은 경찰이 압수한 디지털 파일은 위조된 것이라는 보고서를 발표했다. 이를 입수한 센티널원이 추가 조사를 실시한 결과 오랜 기간에 걸쳐 특정 그룹에 대해 비슷한 공격을 하고 있는 해커 집단인 모디파이드엘리펀트 존재가 떠오르게 됐다.
모디파이드엘리펀트는 적어도 2012년부터 활동하고 있는 것으로 확인됐다. 모디파이드엘리펀트 공격은 일부 타깃이 체포되기 직전에 이뤄졌으며 타깃이 인도 국익에 방해가 되는 존재임에도 불구하고 인도 공공 기관에서 지원되는 게 아닐까 보여진다고 한다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
