파이어아이(지사장 전수홍 www.fireeye.com/kr/ko)는 지난달 29일(현지시각) 러시아 해킹 그룹 APT29에 대한 내용을 밝힌 ‘해머토스: 러시아 사이버 위협 그룹의 데이터 유출 전술(HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group)’이라는 인텔리전스 보고서를 발표했다.

이번 파이어아이 보고서에 따르면, APT29는 최첨단 멀웨어 툴인 해머토스(Hammertoss)를 사용하여 피해자의 정보를 빼돌리고 있는 것으로 밝혀졌다.

인텔리전스 연구진들은 이들이 정보를 빼돌리는 데 사용한 것은 트위터, 깃허브(GitHub), 클라우드 저장소 등 합법적 웹 서비스이기 때문에 피해자의 네트워크 상에서 악성코드와 합법적 트래픽을 구분하는 것이 다른 해킹공격보다 더 어렵다고 전했다.

해머토스는 매일 다른 트위터 핸들에 접속을 시도하는 알고리즘을 가지고 있었다.

트위터 핸들이란, 트위터 계정과 연계된 사용자 ID이며 예를 들어 @FireEye란 트위터 핸들이 생성될 경우 https://www.twitter.com/fireeye란 트위터 계정이 만들어진다.

해머토스가 포함하고 있는 알고리즘은 매일 다른 트위터 핸들에 접속을 시도하며, APT29가 해당 트위터 핸들에 미리 작성해 놓은 URL에 접속, 업로드 된 이미지를 다운로드했다.

특히 해머토스가 다운로드 한 이미지는 평범해 보이지만 스테가노그라피(steganography)라는 암호화 기술을 사용, APT29가 삽입한 암호화된 명령이 포함돼 있으며 해머토스는 이를 복호화 하고 피해자의 데이터를 클라우드 저장소에 업로드 하라는 명령을 실행한다.

파이어아이 인텔리전스 팀은 APT29 해킹 그룹이 2014년부터 활동했으며, 이들이 해킹을 통해 수집하는 정보내용을 토대로 볼 때 러시아 정부의 지원을 받고 있을 것으로 추정했다.

또한 이들은 러시아 공휴일에 활동하지 않았을 뿐 아니라 주로 활동한 시간을 협정세계시(UTC) 기준으로 추정해 볼 때 모스크바나 상트페테르부르크인 것을 확인할 수 있었다.

파이어아이의 박성수 멀웨어 분석가는 “APT29의 해머토스 몰웨어는 트위터 핸들을 순환시키는 알고리즘과 이미지에 암호화 된 명령정보 삽입기술을 사용하는 등 다양한 해킹 기술을 접목했다”며 “기존에 존재했던 멀웨어의 기능들을 모두 조합하여 피해자의 네트워크에서 악성코드를 탐지하기 어려운 것이 특징”이라고 설명했다.

<김동기 기자>kdk@bikorea.net