Breaking
사이버 보안(Cybersecurity)
해킹 단체 'Fxmsp', 미국 백신 기업 4곳 해킹
2019-07-30 17:48:58
허서윤
▲해킹 그룹 'Fxmsp'가 미국의 4대 백신 기업을 해킹했다(사진=ⓒ셔터스톡)

[라이헨바흐=허서윤 기자] 러시아 유명 해킹 그룹 'Fxmsp'가 미국의 4대 백신 기업을 해킹했다고 주장하고 있다.

뉴욕에 소재한 사이버 보안 기업인 어드밴스드 인텔리전스에 따르면, 이들은 훔친 소스코드를 30만 달러 가량에 판매할 목적인 것으로 알려진다.

Fxmsp

이 단체는 오래전부터 기업부터 정부 기관까지 여러 조직을 겨냥, 네트워크와 시스템을 해킹한 뒤 이를 높은 가격에 판매하는 행위로 유명하다.

2017년부터 활동한 단체로, 어드밴스드 연구원들은 지난 7월부터 러시아에 기반을 둔 최상위 포럼에 이들이 처음으로 등장한 이후부터 줄곧 다크웹에서 이들의 위치를 파악하는데 주력해왔다.

그리고 최근 발표한 보고서에 따르면, 이들이 이번에 훔친 소스코드는 인공지능(AI) 모델과 백신 프로그램, 보안 플러그인 소프트웨어에서 추출된 것으로 추정된다. 그러나 피해 기업들의 이름은 공개되지 않았다.

옐리세이 보구슬라프스키 연구원은 SC 미디어와의 인터뷰를 통해, Fxmsp가 해당 기업들의 파일을 갖고 있다는 직접적인 증거를 목격했다며 Fxmsp의 해킹 주장을 사실로 받아들였다.

그러면서 충분한 기술력이 있다면, 이들 기업들로부터 소스코드를 탈취하하는 것이 가능하다고 설명했다.

Fxmsp는 자신들이 해킹한 백신 기업들의 이름을 다크웹에 공개, 처음 3곳의 피해 업체로부터 훔친 약 30테라바이트(TB) 상당의 데이터 폴더 스크린 샷도 업로드했다.

구원들은 업로드된 폴더에는 백신 기업들의 개발 문서와 웹 보안 소프트웨어, 백신 소프트웨어 기본 코드, AI 모델에 대한 정보들이 포함되있는 것으로 보인다고 밝혔다.

해커 단체는 탈취한 백신 소프트웨어에 대한 논평과 리뷰까지 올린 것으로 나타났다.

Fxmsp가 백신 기업들을 해킹한 이유에 대해서는, 이들 단체가 최근 네트워크 침입 활동을 위해 주로 백신 기업들을 타깃으로 삼은 것으로 보인다는 분석이 나온다.

지난 6개월간 이 단체가 백신 기업들의 해킹 작업에 대해 몰두해왔다며, 실제로 이 기간동안 단체는 거의 활동을 하지 않았다는 것.

이는 이번 해킹과 직접적인 연관성을 보여주는 것으로, 구체적으로는 지난해 10월부터 올해 4월까지인 것으로 알려진다.

연구원들은 이들 해커들이 러시아어와 영어에 모두 능통한 것으로 알려져있다며, 외부적으로 사용가능한 '원격 데스크톱 프로토콜(RDP)'서버와 노출된 액티브 디렉토리를 통해 기업의 시스템과 네트워크에 침투한다고 설명했다.

▲Fxmsp는 기업부터 정부 기관까지 여러 조직의 네트워크와 시스템을 해킹한 뒤 정보를 판매하는 행위로 유명하다

 

4번째 피해 기업

연구원들은 지난 3월 이 단체의 징후를 처음으로 감지했다.

당시 연구원들은 다크웹에서 이들 단체 운영과 관련성있는 단서를 포착했는데, 당시 수집된 정보들은 해킹 단체가 기업 네트워크에 침투해 탈취한 데이터를 잠재 고객에게 판매하는 것과 연관돼있었다.

이후 4월 24일 Fxmsp가 자신들의 해킹 계략과 훔친 디지털 자산의 판매로 약 100만 달러 이상의 높은 수익을 벌어들인 것으로 결론지었다. 이에 이번 백신 기업들의 데이터 도난 주장 역시 신빙성이 있다는 설명이다.

연구원들은 자사의 블로그를 통해 Fxmsp가 올해 1분기 동안 이들 백신 기업에 침투하기 위해 많은 시간을 들였다며, 마침내 기업들의 내부 네트워크에 접속하며 계획에 성공했다고 설명했다.

▲Fxmsp는 외부적으로 사용가능한 RDP서버와 노출된 액티브 디렉토리를 통해 기업 네트워크에 침투한다(사진=ⓒ셔터스톡)

블로그에는 그러나 당시 해킹당한 3곳의 백신 기업들만 언급돼있지만, 보구슬라프스키에 따르면 이번 5일에 4번째의 피해 기업이 발생했다. 4번째 기업 역시 대중에게 공개되지 않았다.

그러나 최초 3곳의 피해 기업들과는 달리, 이번 4번째 기업의 경우 정보가 부재한 것으로 알려진다.

연구원들은 Fxmsp가 해당 기업의 이름을 전혀 공개하지 않고있다며, 다만 Fxmsp가 4개 기업들 가운데 한 곳은 가장 발전된 보안 기술을 보유하고 있으며 다른 한 곳은 엄청난 고객 기반을 확보하고 있다고 말했다고만 전했다.

Fxmsp는 최근 자사의 접근권 가운데 하나에 대한 타협으로 인해 판매를 보류하기도 했는데, 곧 다시 판매가 재개될 것이라고 발표했다. 이어 일부 잠재 고객들은 2주안에 통보를 받게 될 것이라고 말했다.

그러나 보구슬라프스키는 이는 자신들이 피해 기업들에게 통지를 한 후 발생한 일이라며, 현재 자신들의 통보와 Fxmsp의 타협간 어떤 연관성이 존재하는지 파악하고 있다고 밝혔다.

어드밴스드는 미국 법 집행 기관에도 이번 해킹 사실을 통보했다.

[라이헨바흐=허서윤 기자]