미국 법무부(DoJ)는 지난주 이란 해커 나삽을 법정에 세우기 위해 그의 신원이나 소재를 파악할 수 있는 정보에 대해 최대 1,000만 달러의 포상금을 지급한다고 발표했다.
이 해커는 미국 내 정부 및 민간 기관을 대상으로 한 정교한 사이버 공격 캠페인을 저지른 것으로 드러났다.
미 법무부는 나삽이 스피어 피싱 및 기타 해킹 기술을 활용하여 12개 이상의 기관에서 민감한 기밀 정보를 유출하기 위해 다년간 사이버 캠페인을 조직한 혐의를 제기했다. 표적이 된 기관으로는 재무부, 국무부 등 미국의 주요 정부 부처, 국방부 프로그램을 지원하는 방위 계약업체, 뉴욕에 본사를 둔 회계법인과 숙박업체 등 민간 기업들이 다수 포함됐다.
나삽은 사이버 캠페인에 연루되어 20만 대 이상의 디바이스를 멀웨어에 감염시켰으며, 이로 인해 수많은 민감한 정보가 노출되었을 가능성이 있다. 나삽은 훔친 개인정보를 이용해 서버와 이메일 계정을 등록하는 등 공격에 사용된 인프라를 제공하는 데 중추적인 역할을 한 것으로 추정된다.
기소장에는 표적 공격을 조율하기 위해 맞춤형 스피어 피싱 애플리케이션을 사용하는 등 나삽과 그의 공모자들이 사용한 일련의 정교한 전술에 대한 설명이 나와 있다. 한 예로, 공격자들은 한 방위 계약업체의 관리자 이메일 계정에 침입한 후 이 액세스 권한을 이용해 악성 계정을 생성하고 다른 방위 계약업체와 컨설팅 회사의 직원들에게 스피어 피싱 이메일을 전달했다.
또 공모자들은 전통적인 해킹 기법 외에도 정교한 사회 공학 수법을 사용하여 개인으로 가장하여 피해자의 신뢰를 얻고 피해자의 컴퓨터에 멀웨어를 배포했다.
이번 공격에 대한 모든 혐의가 유죄로 인정될 경우 최대 47년의 징역형을 선고받을 수 있다.
나삽은 아직 도피 중이지만, 이번 미국 법무부의 기소는 전 세계 사이버 범죄자들에게 미국은 자국민, 기업, 정부 기관에 대한 사이버 공격의 책임자를 찾아내 체포하고 기소하는 데 끝까지 추적해 나가겠다는 의지를 보여준 것으로 평가받고 있다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
