>
연구(Insikt)

내분과 변동성에도 불구하고 이란, 공격적인 사이버 작전 구조 유지

게시일: 2020년 4월 9일
작성자: Insikt Group®
Insikt Group

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

레코디드 퓨처의 인식트 그룹(® )은 이란의 사이버 프로그램과 관련된 조직에 대한 지속적인 연구를 진행하고 있습니다. 이 보고서는 이란의 공격적인 사이버 프로그램에 관여하는 주요 군사 및 정보 기관에 대한 더 큰 통찰력을 제공합니다. 공격적인 사이버 역량에는 국내 공격도 포함되지만, 국제적 임무를 선언한 조직을 대상으로 조사했습니다. 일부 조직의 비밀스러운 특성과 검증 가능한 정보의 부족으로 인해 업계 분석 표준을 준수하기 위해 경쟁 가설을 통합했습니다.

이 연구를 위해 우리는 바시즈를 포함한 이슬람혁명수비대(IRGC)와 정보보안부(MOIS), 국방부 및 군 병참부(MODAFL)를 조사했습니다. 이 보고서에서는 일부 지능형 지속 위협(APT) 그룹과 특정 인텔리전스 조직 간의 연관성을 제시하고 있지만, 각 그룹에 대한 정보 격차로 인해 특정 기관을 단정적으로 지목할 수는 없습니다.

연구의 출처는 주로 Recorded Future® 플랫폼에서 수집한 정보, 시만텍, 파이어아이, 클리어스카이, 팔로알토 등이 발표한 업계 연구, 오픈 소스 뉴스 보도 등을 활용했습니다.

Executive Summary

이란의 사이버 프로그램은 여전히 테헤란의 비대칭 역량을 주도하고 있지만, 이란의 정보 장치는 다양한 기능 장애와 불안정해 보이는 특성으로 얼룩져 있습니다. 특히 다양한 정보 기관의 정치화와 이에 따른 국내 불화로 인해 이슬람 공화국의 여러 안보 위기에서 장교급 간부들이 양극화된 것으로 알려졌습니다. 이러한 위기는 공개적으로 드러나면서 내부자 위협을 유발하는 촉매제 역할을 하고, 정보원의 사기를 떨어뜨리고, 유출 사고를 증가시켰습니다. 정보 그룹 간의 경쟁은 기관 간의 직접적인 방해 행위로 이어졌다는 주장도 있습니다.

정치적 내분으로 인해 특정 조직은 공격적인 해킹 전술, 기술 및 절차(TTP)를 활용하여 피해자에 대한 침입 및 접근을 강화하는 등 보안 권한이 크게 확장되었습니다. 그 중 첫 번째는 이슬람혁명수비대-정보조직(IRGC-IO)입니다. 이 단체의 임무는 지난 10년 동안 크게 성장하여 이슬람 공화국의 헌법상 정보 기관인 정보보안부(MOIS)의 정보 평가와 조언에 정면으로 위배되는 활동을 할 수 있을 정도로 커졌습니다.

이란의 사이버 프로그램에 대한 레코디드 퓨처의 세 번째 보고서입니다. 2019년 1월에는 이란의 가장 유명한 해커 포럼인 아시야네에 대해 보도했고, 2019년 3월에는 이란의 사이버 방어 구조와 관련 조직을 다룬 보고서를 발표했습니다.

주요 판단

  • 이란의 내부 및 외부 작전을 수행하는 기관 간에는 차이가 있지만, 각 정보 기관의 정의되지 않은(때로는 중복되는) 보안 임무는 사이버 관련 귀속을 수행하려는 노력을 복잡하게 만들 가능성이 있다고 평가합니다.
  • 정보 기관의 변동성과 책임의 중첩으로 인해 이란 및 역외 행위자들의 허위 정보 가능성이 여전히 높은 것으로 평가합니다.
  • 이란 정보 기관의 복잡한 특성, 정보 유출의 역사, 정치화 등으로 인해 이란의 안보 영역은 여전히 불안정할 가능성이 높다고 평가합니다.
  • 공격적이고 이데올로기적 동기를 가진 사이버 공격은 IRGC, 특히 해외 작전 사령부인 쿠드스군의 특징을 잘 드러냅니다. 이란의 비대칭 대응 능력의 일환으로 조직화된 파괴 작전을 수행했을 가능성이 높다고 평가합니다.
  • 이맘 호세인 대학과 같은 고등 교육 기관이 이란의 사이버 프로그램을 계속 지원하고 정권과 연계된 운영자들의 역량을 강화할 가능성이 높다고 평가합니다.
  • 이란에 기반을 둔 전문 계약 그룹이 다양한 정부 및 군 기관에 서비스를 제공할 가능성이 높다고 평가합니다. 계약 그룹은 또한 위협과 기회의 대상에 따라 기관별 업무에 맞게 조정될 가능성이 높습니다.

배경

이란의 정보기관과 군이 주도하는 사이버 작전은 정보기관의 복잡한 특성, 중복되는 임무, 최고 지도자 알리 하메네이의 통치와 이해관계, 이슬람혁명수비대(IRGC) 같은 군사 조직의 영향력, 내부 정치 등 다양한 요인에 의해 영향을 받습니다.

이란 정보 기관

이란의 파르스 통신에 따르면 1979년 이슬람 혁명 이후 이란의 정보기관은 정보 활동을 수행하는 최소 16개의 별도 기관으로 성장했습니다. 파스 보고서는 또한 모든 정보 기관을 통합하여 다양한 국내외 안보 위협에 대한 노력을 조정하는 주요 메커니즘으로 알려진 정보조정위원회(Shorai-e Hamohangi Etelaat)의 역할도 강조했습니다.

이란의 정보 기관은 IRGC 조직의 일부이거나 정보보안부(MOIS)와 같이 이란의 다양한 선출 정부 구성 요소에 속해 있습니다. 그러나 이들 단체는 모두 최고지도자 하메네이의 칙령에 종속되어 있으며, 이슬람혁명수비대-정보조직(IRGC-IO)과 같은 일부 단체는 다른 단체보다 하메네이의 이익을 더 직접적으로 따르는 것으로 평가됩니다. 현재 마흐무드 알라비가 이끌고 있는 MOIS는 선출된 정부의 우선순위에 따라 공식적으로 MOIS의 정보 임무를 이끌고 있습니다.

이란 정보기관의 특징으로는 중복되는 임무, 표적 요구 사항 및 작전 책임이 있으며, 경우에 따라 정보 및 군사 자원의 경쟁 또는 융합으로 이어지기도 합니다. 예를 들어, 아래에서 설명하는 바와 같이 국내 체제 전복에 대한 대응은 MOIS뿐만 아니라 이란 사이버 경찰(FATA)과 같은 다른 기관에서도 수행하는 것으로 알려졌습니다.

국제적으로 MOIS와 IRGC는 독립적인 정보 작전을 주도할 뿐만 아니라 국가 안보 위협에 대한 작전에서도 협력하는 것으로 보고되었습니다. 이러한 중복은 경우에 따라 키네틱 및 사이버 어트리뷰션 작업을 복잡하게 만듭니다. 2019년 2월 미국 법무부가 다양한 이란 사이버 요원들에 대한 기소장에서 인용한 것과 같은 다른 정보 작전은 기관 간에 자원이 공유되고 요원들이 이란의 보안 서비스와 관련된 둘 이상의 요소에 서비스를 제공할 가능성이 있음을 시사합니다.

중복되는 사이버 미션

사이버 캠페인과 사건의 배후는 많은 경우 이슬람 공화국의 두 개 이상의 정보 조직이 그럴듯한 전략적, 전술적 이해관계를 가지고 있음을 드러냅니다. 국가정보원과 IRGC는 정보 및 보안 임무가 중복되는 가장 관련성이 높은 기관으로 남아 있습니다. APT 그룹은 또한 두 조직의 작업 요구 사항과 아래에서 강조하는 것처럼 특정 하위 그룹에 대응합니다. 기술적인 어트리뷰션은 레코디드 퓨처와 광범위한 업계에서 수행하지만, 인력과 네트워크 소속 등 APT 그룹의 구성에 대한 정보에 접근할 수 없다면 특정 조직에 대한 APT 어트리뷰션은 더욱 복잡해집니다. 어트리뷰션은 보다 정확한 어트리뷰션을 위해 여러 기술적, 조직적, 개인 행동 데이터 세트를 통합해야 합니다.

다른 국가와 마찬가지로 이란 기관도 전략 및 전술 정보가 핵심입니다. 정치, 군사, 경제 정보는 다양한 서방 및 중동 정부 관계자를 대상으로 하는 국제 사이버 스파이 활동의 주요 동력입니다. 이러한 작전은 역사적으로 테헤란과 국제 사회 간의 긴장이 고조되는 시기에 이루어졌습니다. 이러한 국제적 작전 영역 내에서 다양한 위협 행위자 그룹은 MOIS와 IRGC의 요구 사항뿐만 아니라 국방부 및 군 병참부(MODAFL)와 관련된 연구 개발 조직을 비롯한 다양한 정부 이해관계자 및 학술 기관의 요구 사항을 지속적으로 지원하고 있습니다.

공개 보고에 따르면 이란의 알려진 위협 행위자들은 중동 국가에 대한 작전을 주도했으며, 때로는 광범위한 컴퓨터 네트워크 공격 작전의 일환으로 특정 표적에 대해 조정하고 협력한 것으로 나타났습니다. 가장 최근에는 바레인을 대상으로 제로클리어 파괴 멀웨어가 사용되었습니다. 그러나 파괴적 공격은 적어도 2012년 8월부터 이란의 비대칭 대응 및 공격 능력의 일부였습니다. 2018년 12월 중순, 이탈리아의 거대 석유화학 기업인 SAIPEM이 친이란 정부 조직에 의해 업데이트된 변종 샤문(2)(Disttrack) 멀웨어를 사용하여 공격당했습니다. 2018년 12월 공격 직후에는 후티 반군(안사르 알라)의 이익을 지지하고 이들과 연계된 단체인 예멘 사이버 군대를 대표한다고 주장하는 단체가 핵티비스트 스타일의 훼손과 소셜 미디어 기반 정보 작전을 수행했습니다. 이러한 협력 노력은 잠재적으로 다양한 위협 행위자 그룹에 의한 공격 활동에서 임무 조정 및 공유 자원의 잠재력을 강조합니다.

기록된 미래 쿼리

예멘 사이버 군대의 소셜 미디어 작전 중 일부에 대한 미래 쿼리를 기록했습니다.

소셜 미디어 이미지

예멘 사이버 군대의 소셜 미디어 작전에 사용된 이미지에는 사이펨을 비롯한 여러 기업이 등장합니다.

국내 전선에서 FATA를 포함한 정보 및 보안 기관은 광범위한 반체제 정치, 민병대, 극단주의 운동에 맞서 싸우고 있습니다. 쿠르드족 , 아와지-아랍족, 발로치족 분리주의자뿐만 아니라 종교적 소수 민족을 대상으로 한 사이버 작전을 수행한 것으로 기록되어 있습니다. 예를 들어, Check Point에서 국내 고양이라고 부르는 위협 행위자 그룹은 이란 안팎의 반체제 인사, 극단주의 단체, 소수 민족을 대상으로 광범위한 사이버 감시 캠페인을 운영한 것으로 알려졌습니다. 이 그룹은 페르시아어, 아랍어, 터키어, 쿠르드어를 사용하는 표적을 대상으로 대부분의 공격을 수행했으며, 피해자를 속여 악성 모바일 애플리케이션을 다운로드하도록 유도하는 소셜 엔지니어링을 사용한 것으로 알려졌습니다.

FATA의 경우도 사이버 범죄 활동에 대응한다는 법적 의무를 넘어 사타르 베헤쉬티와 같은 이란 블로거를 표적으로 삼았습니다. 우리는 이란의 사이버 범죄 문제, 특히 이란의 컴퓨터 범죄법의 운영 범위 내에서 사이버 범죄자의 정의에 반체제 자료를 유포하거나 온라인 시위에 참여했다가 적발된 정치 활동가들이 실질적으로 포함된다는 점에 주목합니다. 업계 연구에서는 정치 활동가들이 컴퓨터 범죄법에 따라 체포되어 수감된 다양한 사례와 법 집행 기관이 재량에 따라 이 법을 적용할 수 있도록 하는 유연성을 자세히 설명 했습니다. 따라서 FATA의 활동은 2009년 녹색 운동 봉기 이후 발생한 블로거와 활동가에 대한 정부의 단속과 관련이 있을 가능성이 높지만, 국내 보안에 국한될 가능성이 높습니다.

이란의 반체제 활동에는 국경을 가리지 않는데, 주로 이란혁명수비대(IRGC)를 위해 활동해 온 APT35(Charming Kitten)와 플라잉 캣(Flying Kitten) 같은 이란 사이버 그룹은 유럽과 북미 전역의 이란 디아스포라를 대상으로 활동하는 경향을 보여 왔기 때문입니다.

소프트웨어를 포함한 군사 관련 기술 또한 자급자족을 공언하며 방위 산업을 구축하고 수출하기 위해 노력하는 체제에서 최우선 순위로 남아 있습니다. 이 보고서의 뒷부분에서 자세히 설명하겠지만, MODAFL과 같은 단체는 군용 무기 기술에 중점을 둔 컴퓨터 네트워크 운영의 주요 이해관계자이자 수혜자로 평가됩니다.

이란 정보 유출

정보 유출은 이란 정보기관, 특히 MOIS에 정기적으로 영향을 미쳤습니다. 조직은 역사 전반에 걸쳐 고위급 조직원들과 국제 조직이 노출될 위험이 있는 여러 차례의 충격적인 폭로를 감내해 왔으며, 중요한 사례로는 '연쇄 살인 사건', '이란 케이블', 반정부 활동과 관련된 다양한 확인되지 않은 사이버 유출 사건 등이 있습니다. 정치적 불만으로 인해 정보 기관에 대한 대규모 정보 유출이 발생했습니다. 이는 동료 정보원들과 이란 사회에 대한 위반, 부패와 은폐, 또는 가장 최근의 이란 케이블에서 알 수 있듯이 이라크에서 IRGC-쿠드스군의 정보 및 군사적 우위와 관행에 대한 MOIS의 경멸을 묘사합니다.

반정부 사이버 작전은 주로 2009년 녹색 운동 봉기 이후 몇 년 동안 구체화되었으며, 익명의 이란과 같은 자칭 반정부 익명 집단에 의해 수행되었습니다. 이 단체들은 민간인과 국제적 표적에 대한 테헤란의 사이버 활동을 폭로하는 것을 목표로 삼았으며, 기밀 문서, 사이버 프로젝트, 이란 정부의 부패, 중동 국가에 대한 국제적 작전 등을 폭로했습니다. 가장 최근의 반정부 사이버 작전 증가는 2017년 말부터 이 글을 쓰는 시점까지 시작되었으며, 타판데간, 랩 두크테간, 아핵 보안팀 등 다양한 그룹이 정부 및 군사 자산에 대한 침입을 주도한 것으로 알려졌습니다.

허위 정보로 의심되는 활동

이란의 허위 정보에 대한 조사에서 그럴듯한 허위 정보 사례가 계속 확인되고 있으며, 따라서 이 글을 쓰는 시점에서는 이란 행위자들의 허위 정보 가능성이 향후에도 계속 높아질 것으로 평가합니다. 이는 유출된 데이터와 지역 외 행위자들이 서방 사이버 보안 조직을 상대로 자신들의 이익을 위해 유출된 데이터를 조작하거나 데이터 분류 및 속성을 저하시킬 가능성으로 인해 더욱 증폭되고 있습니다. 예를 들어, 후자의 경우 지역 외 위협 행위자의 자체 작업을 난독화하기 위해 기존의 C2를 사용하는 것이 포함됩니다.

2017년 말부터 2019년 내내 자칭 이란 반체제 단체들은 이란과 중동 지역 전역에서 이란 정보기관과 군사 기관의 작전을 폭로하기 위해 포괄적인 노력을 기울여 왔습니다. 이러한 노력에는 랩 두크테간, '그린 리커'(Afshagaran-e Sabz), '블랙박스'(Resaneh Khabari Jabeh Siah), '숨겨진 현실'(Vaghiyate Penhaan) 같은 그룹이 포함되었습니다. 후자는 계약자로 추정되는 라나 연구소의 활동에 대해 보고했으며, 이에 대해서는 아래에서 자세히 설명합니다. 이 글을 쓰는 시점에서 인식트 그룹은 이 단체가 이슬람 공화국에 반대한다고 주장하는 모든 정보와 사명을 종합적으로 확인하지 못했습니다. 이 단체들은 테헤란에 대항하여 행동한다고 주장하며 이란 정보기관뿐만 아니라 APT 그룹에 대한 광범위한 정보를 유포하고 있지만, 하나 이상의 단체가 허위 정보를 실행할 목적으로 설립되었을 가능성도 있다고 평가합니다.

카스퍼스키랩은 2019년 8월과 12월에 러시아 위협 행위자와 라나 인스티튜트 유출을 연관시킬 수 있는 두 개의 보고서를 발표했습니다. 보고서는 유출된 자료와 인프라, 전용 웹사이트를 분석한 결과 러시아 연방군 총참모부(GRU)와 관련된 위협 행위자가 배후에 있는 것으로 평가했습니다. 그러나 이 글을 작성하는 시점에 레코디드 퓨처는 이 평가의 유효성을 확인할 수 없습니다.

또 다른 사례로, 이란 사이버 프로그램의 고위 멤버였던 모하마드 후세인 타지크의 사망 의혹을 보도한 는 이란의 해커 계층 구조와 반체제 인사 루홀라 잠의 생포를 둘러싼 IRGC-IO의 허위 정보 활동을 다뤘습니다. 이 글을 쓰는 현재, 잠과 같은 반체제 인사들에게 이란의 사이버 프로그램에 대해 유포된 정보는 확인되지 않았습니다. 잼은 이란 정보기관의 정보 작전의 희생양으로 지목되어 명예훼손 공격의 대상이 되기도 했고, 이란 정보기관에 의해 폭로되기도 했습니다. 이러한 활동은 아마도 잠의 출처와 방법에 대한 신뢰도를 떨어뜨리기 위해 수행된 것으로 추정됩니다. 잠의 타지크 관련 보도는 이란이 미국, 사우디아라비아, 터키에 대한 국제 사이버 작전에 연루되어 있으며, 이러한 공격이 시작된 것으로 추정되는 작전 시설인 카이바르 센터와도 연관되어 있다는 사실을 시사했습니다. 잠의 설명에 따르면 이 시설은 이란의 주요 정보기관 요원들이 상주하는 융합 센터처럼 운영되고 있습니다.

이란에서 비롯된 허위 정보 활동은 여전히 신뢰할 수 있는 위협이지만, 지역 외 행위자들도 이란 APT 그룹을 사칭하여 탐지 및 귀속 노력을 잘못 유도할 수 있다고 평가합니다. 여기에는 APT33, APT35, 머디워터와 같이 이전에 이란 위협 행위자와 연계된 서버 인프라(C2)를 사용하는 것이 포함될 수 있다고 평가합니다. 저희는 2019년 12월 오퍼레이션 게임워크 보고서에서 C2와 멀웨어가 러시아 APT 블루알파와 겹친다는 사실을 밝히며 이를 가능한 시나리오로 강조한 바 있습니다.

정보 기관의 정치화

이란 정보 기관의 정보 유출의 역사와 정치화 및 파벌주의가 심화된 시기로 인해 이란의 안보 영역은 여전히 불안정할 것으로 평가합니다.

페르시아어 오픈 소스 보고서는 이란의 MOIS가 파벌주의의 증가로 인해 기관의 범위 확보 능력에 해를 끼쳤을 가능성이 있음을 강조합니다. 공개 보고에 따르면 내부 정치가 정보 기관의 여러 계층에 영향을 미쳐 IRGC-IO의 수장인 호세인 태브와 전 MOIS 수장인 헤이다르 모슬레히, 마흐무드 아마디네자드 전 대통령(2005-2013), 사데크 라리자니 등 다양한 정치인들과 대립각을 세우고 있습니다. IRGC-IO의 지도자는 부패 사례를 구체적으로 묘사한 IRGC에 불리한 증거를 가지고 있는 이란 정치 단체에 대한 정보 작전을 지원한 것으로 알려졌습니다.

모하마드 카타미 전 대통령(1997~2005년) 시절, MOIS는 강경파 장교와 지지자들을 도태시켰고, 결국 공격적인 국제 작전 추진에서 후퇴하고 온건한 태도를 취한 것으로 알려져 있습니다.1 1997년과 1998년 사이 최고 지도자 하메네이는 IRGC의 정보 임무를 국장으로 승격시킨 것으로 알려졌습니다. 그 시점부터 IRGC의 정보국이 국가정보원과 유사한 임무를 수행하기 시작하면서 국가 안보 위협을 해결하기 위한 노력이 중복된 것으로 판단됩니다.

아마디네자드 전 대통령 치하에서 MOIS는 2009년 봉기 이후 IRGC가 주도한 MOIS 요원들에 대한 숙청으로 더욱 불안정해진 것으로 알려졌습니다. 또한, 아마디네자드가 MOIS를 이용해 정치적 라이벌에 대한 콤포맷('타협할 수 있는 자료')을 수집하려 했다는 보도도 있습니다. 카타미와 그의 전임자인 라프산자니가 주도한 이란 개혁주의를 되돌리려는 강경파의 의도는 이란의 강경파인 친IRGC 안사르 헤즈볼라의 주요 멤버들이 작성한 "새로운 시대와 우리의 책임"(dowlat-e jadid va masooliat-haye ma) 초기 선언에 정확하게 포착되어 있습니다. 이 선언은 아마디네자드 1기 정부에 경고를 보내며 카다미 시대의 변화를 향한 MOIS의 지속적인 표류를 막고, 이념적 동기를 가진 국제 작전을 수행할 가능성이 적은 이란 정보기관을 만들 것을 요구했습니다.

MOIS는 하산 로하니 현 대통령(2013~현재) 시절에도 비슷한 정치화 사례를 경험한 바 있습니다. 이란의 정보부 장관인 마흐무드 알라비는 정보 및 보안 능력이 부족하다는 비난을 받아왔으며, 이후 강경파가 선동한 정치적 목적의 공격 대상이 되어 왔습니다. 카타미 대통령 시절과 마찬가지로 로하니는 MOIS를 조정하고 책임성을 강화하는 등 개혁적인 의제를 가지고 임기를 시작했습니다. BBC의 보도에 따르면 로하니는 이 기관을 반부패 사건에 이용했으며, 이로 인해 이란 경제의 주요 부문에서 IRGC와 그 지지자들을 몰아내기 위한 정치적 싸움에서 더욱 확고한 입 지를 다지게 되었습니다.

BBC 보도에 따르면, 최소 차례에 걸쳐 MOIS는 IRGC-IO의 병행 활동과 영향력에 밀려 판결을 거부당했다고 합니다. 여기에는 친개혁 성향의 텔레그램 채널 관리자 체포, 로하니의 핵합의(JCPOA) 협상 팀원 간첩 혐의로 체포, 환경 운동가 체포 등이 포함된 것으로 알려졌습니다. 로하니 치하에서 MOIS는 국가 안보 영역, 특히 방첩 및 국내 전복 대응 영역에서 IRGC-IO에 지속적으로 권한을 빼앗긴 것으로 알려졌습니다.

이란 사이버 간부에게 미치는 영향

이란 정보 기관의 파벌주의가 강화되면서 이란의 사이버 부대에도 영향을 미쳤을 가능성이 높습니다. 인식트 그룹은 정치적 내분의 직접적인 결과가 현재까지 공개적으로 어느 한 쪽(MOIS 또는 IRGC)을 지지하는 이란의 사이버 운영자에게 흘러들어갔을 가능성이 높다고 평가합니다.

예를 들어, 소셜 미디어의 대화를 통해 이란에 기반을 둔 사이버 공격자 아르민 라드('아윱 티티즈'라고도 함)와 라드와 그의 지지층을 자주 비판해온 모하마드 조잔디 사이의 의견 불일치와 조롱이 드러났습니다.2 또한, 미국에 거주하고 있는 것으로 알려진 조잔디에 따르면, 이 글을 쓰는 현재 랩 두크테간과 관련된 해킹 및 유출 작업은 국가정보원과 IRGC 간의 경쟁에서 비롯된 것으로 추정되며, 후자는 국가정보원의 명성과 위상을 손상시키기 위해 의도적으로 국가정보원에 대한 정보를 유출한 것으로 알려졌습니다.

조잔디의 진술을 확인할 수는 없지만, 랩 두크테간이 묘사한 MOIS의 표적 공격에는 야샤르 샤힌자데와 같은 APT34의 조직원들이 포함되어 있습니다. 샤힌자데의 소셜 미디어 대화를 관찰한 결과, 그는 라드 같은 친 IRGC 정권 해커의 편에 섰으며 특히 정보통신기술부 장관인 모하마드 자바드 자로미와 같은 선출직 정부 인사들을 도우려고 시도한 것으로 나타났습니다. 이러한 지원은 주로 취약한 정부 데이터베이스를 탐지하는 데 중점을 두었습니다.

전망

이란의 사이버 공격자들은 이란의 여러 정보 센터를 대상으로 활동하는 공격자들의 수가 증가하고 있기 때문에 어트리뷰션 시도를 계속 회피할 수 있는 독보적인 위치에 있습니다. IRGC-IO, 쿠드스군, MODAFL, MOIS 등 이란 사이버 공격의 최전선에 있는 조직들은 국제적인 공격을 주도할 수 있는 역량을 갖추고 있습니다. 공개된 정보에 따르면 이러한 단체는 정보 목표를 추구하기 위해 계약자 커뮤니티를 이용하고 있으며, 이는 앞으로도 이란 사이버 생태계의 중요한 특징으로 남을 것으로 평가합니다.

더 숙련된 사이버 간부, 더 효과적인 도구, 허위 정보 생산 및 배포 능력을 포함한 더 강력한 작전 보안 조치로 이란의 사이버 작전은 중동 국가와 국제 사회 전체를 계속해서 빠르게 표적으로 삼을 가능성이 높습니다. 이란의 보안 서비스는 또한 이란의 디아스포라와 소수 민족 공동체를 계속 표적으로 삼을 가능성이 높으며, 이 두 집단은 테헤란의 국내 안정에 위협이 될 수 있습니다.

완화 조치

  • 관심 있는 이해관계자는 레드햇 분석 및 속임수 탐지 등 구조화된 분석 기법을 활용하여 보다 정교한 어트리뷰션 시도를 지원하는 동시에 사이버 공격자의 허위 정보 시도를 완화해야 합니다.
  • 이란의 정치 동향을 파악하여 정보 환경에 영향을 미치는 활동(부패 스캔들, 권력 투쟁, 언론인 및 활동가 체포, 정보 단체의 지도자 교체, 외국 기술 사용, 소셜 미디어 사용 금지 등)을 관찰하세요.
  • 페르시아어 반체제 보도는 소수 집단에 대한 단속, 시위대, 외국인 및 이중국적자 체포와 관련된 활동을 정기적으로 다루고 있습니다. 이러한 출처는 일반적으로 체포에 관련된 정보 및 군사 조직과 그들이 주장하는 동기에 대한 통찰력도 제공합니다.
  • 이란의 사이버 운영자는 인스타그램과 텔레그램에서 비교적 공개적으로 활동합니다. 이러한 공개 자료는 조직의 발전, 교육, 정치적 통찰력 및 운영 네트워크에 대한 통찰력을 제공할 수 있습니다.
  • 허위 정보 활동을 방지하고 완화하려면 소셜 미디어 및 공개적으로 사용 가능한 메시징 플랫폼에서 제공하는 이란의 사이버 동향을 확인하고 확인하는 것이 좋습니다.
  • 이란 APT 그룹에 대한 캠페인 추적은 TTP에 대한 인사이트를 제공할 뿐만 아니라 조직의 이해관계에 대한 이해를 심화시키는 데 도움이 되는 피해자론도 제공합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

각주

1S. 추빈, 이란을 시들게 할 것인가? 개혁, 국내 정치 및 국가 안보, 뉴욕, 옥스포드 대학 출판부, 2002, p. 91.

2https[:]//www.tabnak[.]ir/fa/news/816849

관련