시만텍(www.symantec.co.kr)이 조직적으로 다수의 구 동유럽 국가의 정부와 대사관을 겨냥한 대규모 사이버스파이 활동이 포착됐다고 밝혔다.

이번 공격에는 ‘윕봇(Wipbot)’과 ‘툴라(Turla)’라는 멀웨어가 사용된 것으로 확인됐다. 공격단체는 사이버 정찰 활동을 위해 트로이목마 윕봇(Trojan.Wipbot, 또는 타브딕(Tavdig))을 백도어로 사용했으며 이후 트로이목마 툴라(Trojan.Turla)를 이용해 장기간 모니터링을 해온 것으로 나타났다. 트로이목마 툴라는 우로보로스(Uroboros), 스네이크(Snake), 카본(Carbon)이라고도 불리고 있다.

분석에 따르면 공격단체는 최소 4년 이상 사이버스파이 활동을 해온 것으로 보이며 타깃 대상과 고난도의 멀웨어가 사용된 점을 미루어 볼 때 시만텍은 이번 공격의 배후에 국가 차원에서 후원을 받는 조직이 있는 것으로 보여진다.

툴라는 공격자에게 강력한 스파이 기능을 제공하며 컴퓨터를 시작할 때마다 실행되도록 설정돼 있어 사용자가 웹브라우저를 여는 즉시 공격자와 통신이 가능한 백도어를 실행한다. 이 백도어를 통해서 공격자는 감염 시스템으로부터 파일 복사, 서버 접속, 파일 삭제 및 다양한 형태의 악성코드를 탑재하고 실행이 가능하다.

툴라의 배후에 있는 단체는 스피어피싱(spear phishing) 이메일과 워터링홀(watering hole) 공격 기법을 이용해 피해자를 감염시키는 이중 공격 전략을 취하고 있는 것으로 나타났다.

초기에는 감염 피해가 유럽 국가들에서 확산된 것으로 보였으나 보다 면밀한 분석 결과 서유럽의 많은 감염이 구 동유럽 국가들의 민간 정부 네트워크에 연결된 컴퓨터들에서 발생한 것으로 밝혀졌다. 감염은 이 국가들의 대사관을 통해 발생한 것으로 나타났다.

감염을 분석한 결과 공격단체들은 소수의 국가에 집중 공격을 펼쳤다. 실제로 2012년 5월 구소련 회원 국가의 국무총리실이 감염된 후 빠르게 번져 총리실 내 최대 60대의 컴퓨터가 감염됐다.