스페인, 자국 사이버 공격에 배후에 러시아, 이란, 중국, 북한 정부를 지목

국가정보 탈취, 사이버 은행절도, 전산마비 등 목적 다양

스페인 최대 관리 서비스 업체 및 라디오 네트워크 등 감염시키기도

스페인 정보당국이 자국 국가정보에 대한 해커들의 공경 배후로 러시아, 이란, 중국 및 북한 정부를 지목했다.

13일 스페인의 엘파이스(Elpais)에 따르면 스페인 국가정보원(Centro Nacional de Inteligencia, CNI) 산하의 국가암호센터(Centro Criptológico Nacional, CCN)는 최근 자국에 발생했던 사이버 공격 중 36건이 ‘매우 심각’ 한 것으로 분류된 가운데, 이 중 몇 건의 배후에 이들 정부가 개입되어 있다고 주장했다.

주요 해커 그룹 중에는 APT39 및 APT33, 코발트 강(Cobalt Gang), APT29 및 스네이크(Snake), 에미서리 판다(Emissary Panda) 등이 있으며 이 중 APT39와 APT33의 배후에는 이란 정부가, 코발트 강의 배후에는 북한이 각각 있는 것으로 CNI측은 밝혔다. 아울러 APT29와 스테이크는 중국으로부터, 에미서리 판다는 중국정부로부터 지원받고 있다는 의혹을 각각 내놓았다.

이에 앞서 지난 1월부터 스페인 CNI는 자국의 주요 항공산업 부문과 관련된 기업들이 해커 APT39에 의해 공격당한 정황을 파악했다. 서방 정보기관들은 APT39가 이란과 연계되어 있는 것으로 파악하고 있다. APT 39에 의한 실제 공격은 지난 해 말경에 있었던 것으로 드러났다. 당시 해킹은 직접 공격에 의한 것이 아니라 공격에 취약한 소규모 기업들을 브릿지(bridge, 중간 매개)로 사용했던 것으로 알려졌다.

북한 정부의 지원을 받고 있는 것으로 지목된 코발트 강의 경우에는 지난 2월 모 스페인 은행을 상대로 사이버 절도를 시도했었다. 그는 몇몇 사용자들의 계정을 이용해 금융기관간 거래를 위한 국제 네트워크(the international network of transactions between financial entities)에 침입한 후 900만 유로를 지불토록 하는 명령을 수행했다. CCN측은 그 후 해당 은행이 이 돈을 되찾는데 성공했다고 밝혔다.

스네이크의 경우는 러시아에서 개발된 알려진 악성(malware) 프로그램이며 지난 2014년 크림반도 위기 당시 참여한 것으로 알려진 서구 방산 업체들과 정부기관에 대한 염탐을 주 목적으로 하고 있다. 4년전 공격을 당했던 기업들이 올해 4월과 7월 두차례 다시 공격을 당한 정황이 발견되었는데, CCN측은 이들 기업들이 첫 공격당시 스네이크 프로그램의 잔재를 완전히 제거하지 못했을 것으로 보고 있다.

올들어 중국 해커들로터의 공격은 발생하지 않은 상태다. 하지만 지난 해 4월 에미서리 판다(Emissary Panda)로 알려진 중국계 해커 그룹이 스페인 항공분야 기업들로부터 200기가바이트 분량의 데이터를 빼내간 전력이 있는 것으로 밝혀진 바 있다.

이들 해커들의 목적은 국가 정보의 탈취, 은행을 통한 사이버 절도, 전산마비를 통한 금품요구 등 매우 다양한 것으로 파악되고 있다. 지난 해 1월 델 리오 텍사스(Del Rio Texas) 시에서 시작된 랜섬(ransom)프로그램은 그 후 미국을 거쳐 유럽 전역으로 전파되었는데, 특히 이 중 은행 테이터 탈취를 목적으로 한 25개 정도의 파일들을 CCN측이 공개하기도 했다. 이들 프로그램들은 스페인의 헤레스(Jerez), 빌바오(Bilbao) 등과 같은 도시들 및 스페인의 최대 관리 서비스 제공업체(managed service provider)인 에베리스(Everis), 스페인 주요 라디오 네트워크인 SER등을 감염시켰던 것으로 파악됐다.

한편 스페인 CCN은 이들 해커 그룹간 상호 협력등의 정황 같은 것은 파악되지 않는 것으로 밝히고 있다. 아울러 자국 기업들에게 랜섬 프로그램에 감염되더라도 해커들이 요구하는 금품요구에 응하지 말도록 권하고 있다. 또한 금품요구에 응하더라도 해커들이 피해자들의 컴퓨터를 정상화해주지는 않는다고 덧붙였다.