파이어아이연구소(FireEye Labs)가 러시아 정부와 연관성이 높은 사이버 스파이 그룹에 대한 내용을 자사의 블로그를 통해 발표했다.
파이어아이는 ‘APT28’이라고 불리는 이 위협 그룹의 타깃과 발전한 악성코드의 성격을 토대로 아마도 이들이 러시아 정부의 이익을 위해 최소 2007년부터 사이버 스파이 활동을 해온 것으로 평가하고 있다.
APT28의 주요 타깃은 정부와 군사시설이라고 보고 있으며 러시아 정부를 위해 활동하는 이 그룹은 코카서스의 조지아, 동부 유럽의 정부 및 군대, 유럽 보안 조직 등을 타깃으로 삼았다고 파이어아이는 전했다.
과거 멘디언트가 밝힌 APT1그룹의 경우 주요 방위, 항공 우주, 에너지, 제조기업 등 지적재산권과 같은 영업 비밀을 훔치는 중국 군대의 구성원으로 추정했다.
파이어아이는 이들을 ‘경제 스파이(economic espionage)’라고 부르며 중국의 국가 산업을 위해 활동한다고 예상했다.
하지만 이번에 보고서를 통해 공개한 APT28은 정치 및 군사적 성격의 정보를 빼내는데 집중하는 것으로 나타났다.
이들은 ‘정치 스파이(state espionage)’에 더 가까우며 정책 방향과 군사 능력에 대한 정보를 빼내 해당 정부에 이득을 줄 가능성이 크다는 것이 파이어아이의 분석이다.
APT28은 일반적으로 소파시(Sofacy)라고 불리는 툴을 사용했으며 파이어아이는 이를 내부적으로 슈어페이스(SOURFACE_라고 부른다.
이 악성코드는 2007년부터 꾸준히 발전돼 왔으며 작동원리를 밝혀내기 위해 연구해온 자의 활동을 방해하려고 하는 기능을 갖고 있다.
APT28의 악성코드 연구를 통해 파이어아이는 악성코드 개발자가 모스크바(Moscow)와 상트페테르부르크(St. Petersburg) 등 러시아 주요 도시의 업무 시간에(러시아 주요 도시의 표준시간대 기준) 일관적으로 일을 하고 있으며 이때 러시아 언어 설정을 사용하고 있는 것을 알아냈다.
파이어아이는 APT1 그룹에 이어 러시아의 후원을 받고 있는 것으로 보이는 APT28에 대한 내용을 밝히며 점점 조직화 되고 있는 APT공격을 막기 위해 주의를 기울이고 있다.
나아가 APT 공격에 대한 국가적 차원의 방어시스템 마련을 위한 차별화된 준비를 진행할 계획이다.
