[뉴스토마토 곽보연기자] 다수의 구 동유럽 국가 정부와 대사관을 겨냥해 대규모 사이버 스파이 활동을 한 흔적이 포착됐다.
글로벌 정보보안기업 시만텍은 구 동유럽 국가들의 민간전부 네트워크에 연결된 컴퓨터들이 공격단체에 의해 감염된 것이 포착됐다고 8일 밝혔다.
분석에 따르면 초기에는 감염 피해가 유럽 국가들에서 확산된 것으로 보였지만, 추후 서유럽의 많은 감염이 구 동유럽 국가들의 민간 정부 네트워크에 연결된 컴퓨터들에서 발생한 것으로 밝혀졌다.
공격단체는 소수의 국가를 집중 공격했다. 지난 2012년 5월 구소련 회원 국가의 국무총리실이 감염됐고 이후 총리실 내 최대 60대의 컴퓨터가 멀웨어에 감염됐다.
2012년 말에는 프랑스에 있는 또 다른 구 소련 회원국의 대사관이 감염됐다. 지난해에는 해당 국가의 외무부 네트워크에 연결된 다른 컴퓨터로 감염이 확산되기 시작해, 내무부에서도 감염이 발생했다. 감염은 ▲벨기에 ▲우크라이나 ▲중국 ▲요르단 ▲그리스 ▲카자흐스탄 ▲아르메니아 ▲폴란드 ▲독일 대사관 등에서 발견됐다.
공격단체는 대체적으로 동유럽 국가들을 집중 공격했지만 서유럽 국가의 보건복지부, 중앙아메리카의 교육부 등 동유럽 외 지역에서도 여러 타깃이 존재한 것으로 나타났다.
분석에 따르면 공격단체는 최소 4년 이상 사이버스파이 활동을 해왔다. 대상을 공격하는 데 고난도의 '멀웨어'를 사용했으며 이번 공격에 사용된 멀웨어는 '윕봇(Wipbot)'과 '툴라(Turla)'로 나타났다.
◇시만텍은 해당 공격이 고난도의 멀웨어를 이용했다고 밝혔다. 그림은 감염이 확산되는 경로다.(사진제공=시만텍코리아)
시만텍은 "툴라는 공격자에게 강력한 스파이 기능을 제공하는데 컴퓨터를 시작할 때마다 실행되도록 설정돼 사용자가 웹브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다"며 "이 백도어를 통해 공격자는 감염 시스템으로부터 파일 복사, 서버 접속, 파일 삭제 및 다양한 형태의 악성코드를 탑재하고 실행이 가능하다"고 설명했다.
시만텍은 다년간 툴라의 배후 단체의 활동을 추적한 결과 공격단체가 밝혀지지는 않았지만 대부분의 해킹이 '세계표준시(UTC) +4' 시간대의 표준 업무시간에 발생한 것으로 나타났다고 밝혔다.
시만텍 관계자는 "세계 표준시 +4 시간대가 워킹타임인 지역은 한정돼 있지만 어느 국가인지는 아직까지 밝혀내지 못했다"고 덧붙였다.