해커도 실수한다! 차밍키튼, 서버 설정 오류로 내부 파일 노출시켜
이란 정부의 지원 받는 해킹 집단 차밍키튼, 서버 설정 오류로 40GB 데이터 노출
진행하고 있던 작전과 교육용 영상 공개돼…이중 인증 장치 해킹 시도 꺼려하지 않아
이란 정부와 연관성이 있는 해킹 단체가 실수로 자신들의 서버를 노출시키는 일이 발생했다. 이 때문에 이들이 벌이던 갖가지 해킹 공작과 관련된 정보가 40GB나 분석가들의 손에 들어갔다.
문제의 서버를 지난 5월 발견한 건 IBM 엑스포스 사건 대응 첩보 서비스(IBM X-Force Incident Response Intelligence Services) 팀이다. 서버의 주인은 ITG18, 차밍키튼(Charming Kitten), 포스포러스(Phosphorous), APT35, 뉴스비프(NewsBeef) 등의 이름으로 추적되고 있던 해킹 단체였다. 서버는 기본 설정 오류 때문에 3일간 열려 있었다고 한다.
해당 서버에서 발견된 파일들을 입수해 분석한 IBM 전문가들은 차밍키튼 일원들이 만든 훈련용 교육 영상도 발견했다. 총 상영 시간이 5시간이나 되었다. 여러 종류의 온라인 계정들을 어떻게 침투하고, 어떻게 데이터를 추출하는지를 가르쳐주는 내용도 포함되어 있었다.
차밍키튼은 최소 2011년부터 활동을 해온 단체로, 세계보건기구(WHO), 여러 정부 기관, 기자와 언론 단체, 운동가, 정치 캠프 등을 공격해왔다. 여기에 추가로, 이번에 발견된 파일들을 통해 이들이 그리스 해군과 미국 해군에 대한 침해도 성공적으로 해냈다는 것이 파악됐다. 이들은 공격 표적에 대해 방대한 정보를 수집한 뒤 해당 조직에 소속된 인물들 수십 명을 해킹한 것으로 알려졌다.
차밍키튼이 왜, 어떤 목적으로 이 두 해군 조직을 공격했는지는 아직 확실히 알 수가 없다. IBM 엑스포스 팀은 자사 블로그를 통해 “해군 전문가들만의 네트워크 크리덴셜까지 침해되지는 않은 것 같지만, 특정 목적을 달성하기 위한 정보를 노리고 침투했을 수 있다”고 설명했다. “이런 자들은 한 번 공격으로 모든 것을 끝내지는 않죠. 장기적 목표를 가지고 단계별로 공격을 진행합니다. 한 사건만 보고 이들의 의도를 다 파악할 수는 없습니다.”
그 외에도 이란계 미국인 자선가 한 명과, 미국 국방부 요원 한 명에 대한 사이버 공격과 염탐 시도가 이뤄졌다는 사실도 드러났다. 다만 이 두 가지 공격 모두 실패로 끝난 것으로 보인다.
이번에 발견된 데이터에 의하면 차밍키튼은 이중 인증 장치를 뚫어내는 데에 있어 별다른 두려움을 느끼지 않는 것으로 보인다고 한다. 항상 성공하는 건 아니지만, 이중 인증이라고 해서 공격 표적을 바꾸거나 포기하지는 않는다는 것이다. 그러나 이런 태도가 모든 해커들 사이에서 공통으로 나타나는 건 아니라고 IBM은 강조했다. 이중 인증은 여전히 유효한 방어 수단이다.
데이터베이스에서는 공격자들이 사용한 전화번호들도 일부 발굴됐는데, 이란의 국가 코드인 +98을 사용한 것이 눈에 띄었다. 차밍키튼이 이란에 근거지를 둔 해커 집단이라는 사실이 확실시 되는 부분이다.
IBM은 “차밍키튼의 예기치 않은 실수 덕분에 이들에 대해 더 깊이 이해할 수 있게 되었고, 이들이 후속 해커들을 이미 양성하고 있기도 하다는 사실을 파악하게 되었다”며 “이는 대단히 귀중한 정보”라고 평했다. 그러면서 “이들은 누군가 마음을 단단히 먹고 육성 및 지원하고 있는 단체이며, 그런 만큼 꾸준하고 왕성하게 해킹 공격을 시도하고 있다”고 설명했다. “또한 차밍키튼에 대한 고발이 여러 차례 나왔음에도 기죽지 않고 있다는 것”도 지적됐다.
3줄 요약
1. 이란의 해킹 단체 차밍키튼, 서버 설정 오류로 민감한 정보 노출시킴.
2. 40GB에 달하는 정보 속에 이들의 작전과 차세대 해커 육성 사업에 관한 내용이 포함되어 있었음.
3. 세상이 뭐라고 떠들어도 아랑곳 하지 않고 자기 할 일 하는 차밍키튼, 당분간 위협으로 남아 있을 것.
출처 URL
https://www.boannews.com/media/view.asp?idx=89871&mkind=1
위 게시글에 문제가 있을 시, 삭제하겠습니다.
