아시야네의 역사: 이란 최초의 안보 포럼

배경

레코디드 퓨처는 2015년 6월과 2018년 5월에 이란의 사이버 역량에 대해 보도한 바 있으며, 두 차례에 걸쳐 이란의 사이버 능력, 지역 패권을 놓고 사우디아라비아와의 싸움, 사우디아라비아에 대한 공격적 캠페인 의지를 설명한 바 있습니다. 적어도 2009년부터 이란은 공격적인 사이버 작전을 수행함으로써 지역적 도발과 국제적 제재에 정기적으로 대응해 왔습니다. 이러한 공격의 주요 표적은 사우디아라비아, 이스라엘, 서방 기관은 물론 아시아 석유화학 및 항공 회사였습니다. 이러한 공격의 정교함은 소셜 미디어 하이재킹과 웹사이트 훼손부터 사우디 아람코 공격과 같은 매우 파괴적인 캠페인과 서구, 중동, 아시아 표적에 대한 정교한 스파이 캠페인에 이르기까지 다양합니다.

레코디드 퓨처는 이전에 이란의 많은 국가 지원 작전이 계약업체를 활용하고 있으며, 이란 정부 계약업체가 우수한 사이버 인재를 찾고 유지하기 위해 폐쇄적인 신뢰 커뮤니티를 채굴해야 한다고 보도한 바 있습니다. 다음은 이란 온라인 보안 커뮤니티의 기원과 성숙 과정, 그리고 그 역사에서 아시야네 포럼이 수행한 역할에 대한 설명입니다.

인식트 그룹 소식통에 따르면, 2002년 이란의 젊은이들은 해커 웹 포럼과 인터넷 릴레이 채팅 채널(온라인 클럽)을 만들어 정보를 공유했습니다. 이 포럼에서 많은 활동은 회원들이 동료들 사이에서 명성을 얻기 위해 라이벌 해커의 웹사이트를 훼손하는 것이었습니다. 초기 포럼에는 simorgh-ev.com과 ashiyane.com 등이 있었습니다. 이 포럼의 운영 목표는 금전적인 이득이 아닙니다. 오히려 포럼 회원들은 공격적인 표현을 주고받으며 재미삼아 명예훼손을 일삼았습니다. 그러나 2년 만에 이란의 웹사이트에는 이념적, 종교적 색채가 짙은 메시지가 포함되는 등 훼손이 시작되었습니다. 인식트 그룹의 소식통에 따르면 2007년 말, 와하비즘(사우디아라비아의 지배적 신앙)에 맞춘 사우디 포럼과 이란 포럼 간에 작고 짧은 온라인 충돌이 발생했다고 합니다.

이란 정부는 이러한 사이버 명예훼손에 주목하기 시작했고, 사이버 활동을 공식적인 선전으로 전환하여 이란 젊은이들이 시아파의 대의에 동참하도록 유도했습니다. 인식트 그룹의 소식통에 따르면, 이란 해커들은 '이란의 수호자'라는 꼬리표와 같은 악명을 얻게 되었고, 이란 해커들은 외국 웹사이트 훼손에 가담하는 새로운 동기를 갖게 되었습니다.

여러 데이터 포인트에 따르면 이란 보안 포럼이 이란 계약업체의 인력 채용 및 지식 공유에 중요한 역할을 하는 것으로 나타났습니다. 예를 들어 인식트 그룹의 소식통은 이란 시모르그 포럼 관리자가 사이버 작전을 수행하는 이란 군대의 한 지부인 이슬람혁명수비대(IRGC)와 가족 관계가 있다고 주장합니다. 가장 의심스러운 것은 APT33 멀웨어에서 발견된 핸들인 Xman_1365_x가 이란 내에서 가장 크고 유명한 해킹 포럼인 아시야네 포럼의 활성 회원인 것으로 밝혀졌다는 점입니다. 이 포럼은 IRGC 운영과 관련성이 입증된 이란의 보안 계약업체가 관리합니다. 아시야네 포럼과 그 이름을 딴 계약업체, APT33과 연관이 있는 포럼 회원, 그리고 이 계약업체와 이란 정부와의 연관성을 고려할 때 아시야네 포럼이 이란 국영 계약업체에 인력 및 지식 교환을 제공한 것으로 중간 정도의 신뢰도를 가지고 평가합니다.

아시야네 포럼의 역사와 창립자

아카이브된 웹 페이지 데이터를 기반으로 한 아시야네 포럼은 2003년 초에 아시야네 디지털 보안팀의 기존 웹사이트인 ashiyane.com의 한 섹션으로 처음 시작되었습니다. 이 포럼은 2006년에 자체 웹사이트인 ashiyane.org로 확장되었습니다. 아시야네.org에는 일반적인 질문, 도구 공유, 훼손, 교육 세션 및 뉴스를 위한 섹션이 포함되어 있습니다. 포럼이 확장되어 이란에서 가장 큰 해킹 포럼 중 하나가 되면서 이러한 원래 섹션 중 상당수가 계속 유지되었습니다. 2018년 8월 아시야네 포럼은 폐쇄되었습니다.

2006년 아시야네의 배너.

아시야네 포럼이 "이란 최초의 안보 포럼"임을 선포하는 배너.

아시야네 포럼은 '그레이 햇' 네트워크 보안 회사인 아시야네 디지털 보안팀에서 운영했습니다. 2002년에 설립된 아시야네 디지털 보안팀의 초기 목표는 컴퓨터 네트워크 내의 취약점을 찾아내 이란 사용자와 네트워크 관리자에게 보안 교육을 제공하는 것이었습니다. 2014년 아시야네 디지털 보안팀은 태국과 인도 정부 기관의 웹 사이트와 이탈리아 IP에서 호스팅되는 웹 사이트에서 훼손된 웹 사이트를 발견했습니다.

아시야네 디지털 보안팀은 아야톨라 호메이니를 존중하지 않는다는 이유로 모사드, 나사 등 이스라엘 및 미국 정부 기관의 웹사이트 수백 개를 공격한 바 있습니다. 수니파 아랍 해커들이 이란의 대부분의 시아파 종교 웹사이트를 호스팅하는 주요 서버를 다운시켰을 때 아시야네 포럼은 해커들의 주요 서버 5개를 공격하여 300개의 아랍어 웹사이트를 다운시킴으로써 대응했습니다. 법무부와 다른 업계 구성원들은 아시야네 디지털 보안팀이 IRGC를 대신해 작전에 관여하는 것을 확인했습니다.

'이란 해킹의 아버지'로 불리는 베루즈 카말리안은 아시야네 디지털 보안팀의 창립자이자 CEO입니다. 베루즈는 자신의 지식을 후배 해커들과 기꺼이 공유하는 것으로 이란인들 사이에서 잘 알려져 있습니다. 베루즈는 이란의 많은 배우와 배우들 사이에서도 인기가 높은데, 특히 이전에 유출된 계정을 다시 제어할 수 있도록 도와주는 등 자신의 인스타그램 액세스를 보호하는 데 도움을 줬다고 주장하는 이들이 많습니다. 아시야네 디지털 보안팀이 이란 국가가 후원하는 활동에 관여할 가능성에 대한 질문에 베루즈는 아시야네 포럼이 독립적이고 자발적으로 운영되지만, 이란 군 기관과 협력하여 보안을 조언하고 개선하며 "항상 국가 목표의 틀 안에서 운영되고 있다"고 주장했습니다.

베루즈 카말리안의 인스타그램 프로필.

아시야네 포럼의 가장 악명 높은 웹 훼손 사례는 역사적인 이란과 사우디의 분쟁과 관련이 있습니다. 2008년 말, 사우디 와하비 그룹이 이란의 웹 사이트를 훼손하는 방식으로 이란에 보복을 가하던 중 베루즈 카말리안은 저명한 성직자인 아야톨라 나세르 마카렘 시라지를 방문했습니다. 그 회의 이후, 성직자는 이란 해킹 그룹에 와하비 웹사이트에 대한 추가 공격을 중단할 것을 공개적으로 요청했습니다. 그러나 훼손 행위는 멈추지 않았고, 그 전후 사정은 zone-h.org에서 기념되었습니다, 웹사이트 훼손을 기록하는 웹 사이트입니다. 2008년 10월 9일 , 델타 시큐리티(아시야네 포럼에서 분사)는 오랫동안 이란 사이트를 훼손한 전력이 있는 공격자 bAd Hack3r에 의해 침해당했습니다.

인식트 그룹의 소식통은 한 특정 작전에서 와하비 공격자들이 손상된 아시야네 포럼 이메일 서버에서 백도어 버전의 Putty (Windows용 무료 원격 연결 애플리케이션)를 사용하여 스피어피싱 캠페인을 배포했다고 주장합니다. 와하비 그룹으로 추정되는 XP-Group은 특히 저속한 이미지로 이란의 성직자 사이트를 표적으로 삼아 훼손하기 시작했습니다. 그 후 XP-Group의 웹사이트는 보복성 공격으로 훼손되었습니다. 외부 관찰자의 입장에서는 초기에 어느 쪽에서 문제가 발생했는지 파악하기 어려웠습니다. 아시야네 포럼의 한 회원은 인식트 그룹의 소식통에게 카말리안이 XP-Group을 만들었고 도메인을 소유하고 있다고 말했습니다. 이것이 사실이라면 XP-Group은 와하비로 가장했지만 카말리안이 소유하고 운영한 것입니다. 아시야네 포럼과 XP-Group은 본질적으로 하나이며, 카말리안은 종교적 동기를 가진 사이버 분쟁을 스스로 만들어낸 것입니다. 레코디드 퓨처는 이러한 주장에 대한 2차 검증을 확인할 수 없었습니다.

2009년 이란 정부는 이란 녹색 운동에 대응하여 모든 이란 해킹 사이트를 블랙리스트에 올리라는 지침을 내렸고, 이 과정에서 khamenei.com과 같은 이란 정부 사이트가 공격당했습니다. 아시야네 포럼은 유일하게 남은 해킹 포럼 중 하나였으며, 인식트 그룹의 소식통에 따르면 이란 해킹 커뮤니티는 카말리안이 이란 정부와 독점 계약을 맺은 것으로 추측하고 있습니다. 아시야네 포럼은 새로운 세대의 이란 해커들과 연결되는 주요 포럼이 되었습니다.

녹색 운동이 절정에 달한 후, 정부가 후원하는 공격적인 사이버 캠페인은 조직적으로 중단되었습니다. 2010년 스턱스넷 웜이 이란의 우라늄 농축 공장을 공격하는 데 성공하자 아야톨라 하메네이에게 보고한 IRGC는 신속하고 공격적인 사이버 역량의 필요성을 깨달았습니다. 국가 이익에 부합하는 최고의 해킹 그룹인 Behrooz와 아시야네 포럼은 도움을 줄 수 있는 좋은 위치에 있었습니다. 아시야네 디지털 보안팀의 한 멤버는 2011년 12월 미국 금융기관을 대상으로 176일 이상 지속된 IRGC 주도의 분산 서비스 거부(DDoS) 캠페인에 참여했습니다. 또한 카말리안이 2011년 유럽연합 제재 명 단에 이름을 올린 후 IRGC에서 카말리안의 지위는 더욱 공고해졌습니다.

위협 분석: 아시야네 포럼 콘텐츠

아시야네 포럼은 이란 국가 사이버 부대와 명백히 협력하는 보안 회사가 조직한 유일한 이란 해킹 포럼 중 하나로, 누적 회원 수가 약 20,000명에 달합니다. 레코디드 퓨처는 지난 12년간 아시야네 포럼의 스레드를 수집하고 분석하여 포럼 내 일반적인 트렌드를 파악했습니다. 아시야네 포럼에 게시된 대부분의 콘텐츠는 웹 익스플로잇에 초점을 맞췄습니다. 크로스 사이트 스크립팅, DDoS 공격, SQL 및 기타 브라우저 기반 코드 인젝션은 포럼이 시작된 이래로 주요 주제였습니다. 또한, 2014년 1월 전체 디바이스 시장 점유율의 26.72%에서 2015년 4월 37.85%로 아태지역 내 모바일 디바이스 수가 꾸준히 증가함에 따라 안드로이드 익스플로잇은 지난 4년간 꾸준히 인기를 끌었습니다.

AndroRAT 배포에 대한 도움을 요청하는 아시야네 포럼 게시물. (출처: 레코딩된 미래)

2015년에 가장 많이 광고된 툴은 AndroRAT 및 Dendroid RAT와 같은 Android 원격 액세스 트로이목마(RAT)와 Citroni 랜섬웨어였습니다. 2016년에는 포럼의 콘텐츠가 소비자 가전 및 Android 디바이스용 익스플로잇과 인터넷 프로토콜용 익스플로잇으로 옮겨갔습니다. 안드로이드 멀웨어 DroidJack, PC 트로이 목마 njRAT, USB 멀웨어 PoisonTap에 대한 질문과 함께 디도스 및 SQL 인젝션 공격에 대한 질문도 인기를 끌었습니다. 2017년에는 2015년과 2016년에 논의된 주제와 비슷한 주제들이 인기를 끌었지만, 많은 게시물이 Linux 제품 및 엔터프라이즈 콘텐츠 관리와 Android 디바이스를 중심으로 작성되었습니다. 아시야네 포럼은 이란 내에서 가장 유명한 해킹 포럼 중 하나이기 때문에 이러한 게시물은 경험이 적은 신규 회원들이 포럼에 등록하고 최신 웹 브라우저 및 기술의 간단한 웹 취약점에 대해 비슷한 질문을 지속적으로 하는 것을 나타냅니다.

최근 3년 동안 아시야네 포럼의 사이버 트렌드를 시각화한 것입니다.

인식트 그룹은 아시야네 포럼에도 포럼 베테랑 해커들이 상당수 존재하며, 이는 새롭고 매우 정교한 취약점이 포럼 회원들 사이에서 공유되는 속도를 통해 알 수 있습니다. 예를 들어, 어도비 플래시 사용 후 무료(UAF) 취약점인 CVE-2015-0313의 개념 증명과 어도비 플래시 원격 코드 실행(RCE) 취약점인 CVE-2015-0311의 유사한 게시물은 취약점이 NVD에 기록된 지 몇 달 후에야 공유되었습니다. 또한 2017년 6월 29일 위키리크스에 CIA 해킹 도구인 아웃로카운티가 공개되었을 때 아시야네 포럼 회원들은 불과 5일 후에 이 도구를 공유하고 토론했습니다.

2015년부터 아시야네 포럼에 광고를 게재하고 있습니다. (출처: 레코딩된 미래)

아시야네 포럼의 폐쇄와 이란 해커의 이주

2018년 3월 12일, 아시야네 디지털 보안팀 공식 채널은 이란 법원이 추후 공지가 있을 때까지 모든 활동을 중단하라는 명령을 내렸다고 밝혔습니다. 발표에는 폐쇄 이유에 대한 설명이 없었지만, 이란의 소식통은 아시야네 포럼이 무기징역 또는 사형 등의 처벌을 받을 수 있는 도박 웹사이트를 운영하고 있었다고 확인했습니다. 아시야네 포럼은 2013년 아시야네 포럼 데이터베이스의 일부가 온라인에 유출되면서 도박과 연루된 적이 있습니다. 인식트 그룹의 소식통에 따르면 아시야네 포럼의 데이터베이스 지원에 사용된 사용자 아이디는 이란에서 "페르시안포커"라는 이름으로 운영되는 여러 포커 사이트와 관련이 있다고 합니다.

페르시안 포커[.]아시아에 대한 DNS 레코드와 연관된 2013년 아시야네 포럼 덤프의 파스테빈.

레코디드 퓨처의 데이터에 따르면 아시야네 포럼은 2018년 8월 5일에 오프라인으로 전환되었습니다. 포럼 회원들은 사이트가 해킹당했거나 강제로 폐쇄되었다는 소문을 퍼뜨렸습니다. 2018년 10월 31일, 한 이란 호스팅 전문가가 트위터에 "요즘 걱정이 많습니다. 베루즈가 없는 지금 누가 책임자가 될지 모르겠습니다." 2018년 4월 중순부터 7월까지 아시야네 포럼에 올라온 인식트 그룹의 소식통과 게시물에 따르면 베루즈가 체포되었다고 합니다. 그러나 베루즈는 11월 초에 출소했고, 2018년 11월 8일에는 이란의 한 배우가 계정이 해킹당한 후 자신의 인스타그램 계정에 다시 접속할 수 있게 해준 베루즈에게 감사의 인사를 전하는 영상을 인스타그램에 올렸습니다. 인스타그램 사용자들이 베루즈의 최근 게시물에 아시야네 포럼의 폐쇄에 대해 묻는 댓글을 남겼지만, 레코디드 퓨처는 베루즈가 해당 게시물에 참여하는 것을 관찰하지 못했습니다.

온라인 포커는 수익성이 높은 사업인 동시에 위험한 사업이기도 합니다. 인식트 그룹의 소식통에 따르면 이란 내에는 수명이 짧고 매일 차단되는 도박 웹사이트가 3,000개가 넘는다고 합니다. 인식트 그룹은 통계 자체에 대한 2차 검증을 찾지 못했지만, 이란이나 이슬람 국가에서 도박을 운영하는 것은 가혹한 처벌로 인해 위험한 행위라는 것을 확인할 수 있었습니다. 베루즈는 종신형이나 사형 대신 불과 몇 달 만에 감옥에서 나올 수 있었는데, 이는 이란 정부 및 IRGC와의 기존 관계 덕분이었을 것입니다. 그렇다면 베루즈의 관대한 형량은 국내 해커 커뮤니티에서 그의 역할이 이란 정부에 매우 중요하다는 것을 시사하는 것일 수 있습니다. 하지만 아시야네 포럼은 여전히 오프라인 상태이며, 베루즈는 소셜 미디어에서 유명인을 돕는 해커로 이름을 바꿨습니다. 베루즈가 향후 아시야네 디지털 보안 팀과 포럼을 다시 만들려고 시도할 것이라는 증거는 없습니다.

아시야네 디지털 보안팀 폐쇄에 대한 트위터의 반응.

아시야네 포럼 회원 마이그레이션 활동

이란 해킹 커뮤니티에서 가장 크고 유명한 포럼 중 하나였던 아시야네 포럼이 폐쇄됨에 따라 해커들은 동일한 주제에 대한 토론과 상호작용을 제공하는 새로운 커뮤니티를 찾거나 인기는 떨어지지만 이미 설립된 다른 포럼에 점점 더 의존하게 될 것입니다.

레코디드 퓨처는 2014년부터 2018년까지 20,000명 이상의 아시야네 포럼 회원의 게시물을 검토했습니다. 아시야네 포럼이 폐쇄되기 전까지 활동했던 18,060명의 사용자 중 페르시아어, 아랍어, 러시아어 또는 영어 포럼에서 정확히 일치하는 닉네임을 가진 사용자는 4%에 불과했습니다. 이러한 일치 항목 중 특히 두 가지가 눈에 띄었습니다: VBIran.ir과 페르시안 도구 포럼입니다. 아래 그래프는 다른 포럼에서 정확히 일치하는 아시야네 포럼 사용자 아이디의 수를 첫 게시글 날짜별로 구분하여 보여줍니다. 레코디드 퓨처는 사용자 아이디의 대부분이 2018년 3월 아시야네 디지털 보안팀 채널 폐쇄 발표 이전(발표와 포럼 폐쇄 사이의 기간)에 생성되었는지, 아니면 2018년 8월 5일 아시야네 포럼이 폐쇄된 이후에 생성되었는지 확인하려고 시도했습니다.

아시야네 포럼 멤버십이 중복되는 포럼. (출처: 레코딩된 미래)

아시야네 포럼 사용자 아이디와 정확히 일치하는 237개의 사용자 아이디를 보유한 VBIran.ir은 전체적으로 공통점이 가장 많았으며, 대부분의 사용자가 아시야네 포럼 종료 발표 이전에 VBIran.ir 포럼에 게시물을 올린 적이 있었습니다. 반면, 페르시안 도구 포럼은 아시야네 포럼 발표 이전에는 85명의 사용자 모두 셧다운 기간 중 또는 이후에 등록한 사용자라는 공통점이 없었습니다. CyberForum.ru에서도 아시야네 포럼 사용자 이름이 많이 일치했지만, 대부분의 일치 항목이 일반적으로 사용되는 사용자 이름으로 인해 오탐으로 판명되었습니다.

레코디드 퓨처는 오탐 가능성을 제거하고 공통된 실체를 찾은 결과, 아시야네 포럼 회원과 정확히 일치하는 사용자 이름이 VBIran.ir 전체 회원의 약 7%를 차지하며, 14명 중 1명은 아시야네 포럼 회원이라는 결론을 내렸습니다. 아시야네 포럼 사용자 이름과 정확히 일치하는 사용자도 2018년 3월의 0%에서 현재 페르시안 도구 포럼 전체 회원의 3.5%를 차지합니다. 흥미로운 점은 아시야네 포럼과 다른 포럼의 사용자 이름이 거의 겹치지 않았다는 점인데, 이는 아시야네 포럼이 폐쇄된 후 다른 포럼으로 이동한 해커들이 두 개의 파벌로 나뉘어 활동했음을 시사합니다.

아시야네 포럼 마이그레이션 가능성에 대한 멤버십 분석. (출처: 레코딩된 미래)

VBIran.ir 및 페르시아어 도구 포럼

이 두 포럼의 회원 수는 아시야네 포럼의 약 10분의 1이지만, 아시야네 포럼과 몇 가지 유사점을 공유합니다. 두 포럼 모두 아시야네 포럼과 유사하게 주로 페르시아어로 게시물이 작성되며, 공격적인 전술 토론을 진행할 수 있는 상당히 큰 규모의 포럼을 제공합니다. 그러나 페르시안 도구 포럼과 VBIran.ir은 콘텐츠와 초점이 크게 다릅니다. 페르시안 도구 포럼의 게시물 대부분은 판매 게시물 또는 이란, 해킹, 전자제품, 심지어 축구와 관련된 게시물입니다. 페르시안 도구 포럼의 포럼 구성도 아시야네 포럼이 아시야네 디지털 보안팀 웹사이트와 분리되기 전의 아시야네 포럼과 유사한 것으로 보입니다.

페르시안 도구 포럼 웹사이트의 섹션에는 다양한 형태의 해킹에 대한 하위 섹션이 있지만, 페르시안 도구 포럼에서는 SSL 인증서 판매, 호스팅 서비스, 웹사이트 디자인도 제공합니다. VBIran.ir은 또한 더 많은 일반 사용자를 대상으로 하는 것으로 보입니다. VBIran.ir 게시물은 주로 토론 또는 튜토리얼을 기반으로 하며 해킹과 소프트웨어 개발에 관한 주제를 다룹니다. 또한 VBIran.ir은 페르시아어 도구 포럼과 같은 특별한 서비스를 제공하지 않고 대신 다양한 웹 개발 플러그인을 판매합니다. 이것이 아시야네 포럼 회원들 사이에 겹치는 부분이 거의 없었던 이유일 수 있습니다.

전망

이란 해킹 커뮤니티에서 가장 크고 유명한 포럼 중 하나인 아시야네 포럼의 관리자인 아시야네 디지털 보안팀은 아시야네 포럼의 폐쇄 이유를 발표하지 않았고, 포럼의 복귀 가능성에 대한 질문도 무시했습니다. 포럼은 무기한 오프라인 상태가 될 가능성이 높습니다. 아시야네 포럼을 대체할 만한 뚜렷한 포럼은 없는 것으로 보이지만, 소규모 포럼이 새로운 회원을 유치하고 있습니다.

이란과 비즈니스 관계를 맺고 있는 기업, 사우디아라비아에서 활동하는 기업, 에너지 또는 국방 기관은 이러한 새로운 포럼의 진화를 모니터링해야 한다고 평가합니다. 기존에 아시야네 포럼을 주요 커뮤니티로 사용하던 이란 계약업체들은 계속해서 대안을 모색할 것입니다.

또한 베루즈 카말리안은 이란 정부 내부의 관계와 이란 최고의 해커 중 한 명이라는 명성 때문에 앞서 설명한 것과 같은 조직에 대해 모니터링할 가치가 있는 인물이라고 평가합니다.