>
연구(Insikt)

노출 및 제재 이후 다시 돌아온 프레데터 스파이웨어 인프라

게시일: 2024년 9월 5일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

미국 정부의 폭로와 제재 이후, 인텔렉사의 프레데터 스파이웨어 활동은 감소하는 것으로 나타났습니다. 하지만 최근 인식트 그룹이 발견한 바에 따르면 프레데터의 인프라가 탐지를 회피하고 사용자를 익명화하기 위해 수정된 채로 다시 등장했습니다. 이러한 부활은 콩고민주공화국(DRC) 및 앙골라와 같은 국가의 고객들이 Predator를 지속적으로 사용하고 있다는 점을 강조합니다. 프레데터는 특히 정치인이나 경영진과 같은 유명 인사에게 심각한 개인 정보 보호 및 보안 위험을 계속 야기하고 있지만, 새로운 인프라 변경으로 인해 사용자 추적이 더욱 어려워졌습니다. 이러한 노력에도 불구하고 방어자는 정기적인 디바이스 업데이트, 잠금 모드 사용, 모바일 디바이스 관리 시스템 배포 등 사이버 보안 모범 사례를 준수하여 위험을 완화할 수 있습니다. 프레데터와 같은 스파이웨어가 진화함에 따라 이를 규제하고 사용을 억제하기 위한 전 세계적인 노력은 여전히 중요합니다.

프레데터 스파이웨어의 재등장: 위협에 대해 알아야 할 사항

악명 높은 프레데터 스파이웨어의 제작자인 인텔렉사가 제재를 받고 노출된 후 프레데터 활동이 눈에 띄게 줄어든 것이 관찰되었습니다. 하지만 인식트 그룹의 최근 분석에 따르면 프레데터는 사라지지 않고 있습니다. 스파이웨어 인프라가 다시 등장하여 개인 정보 보호 및 보안에 새로운 위험을 초래하고 있습니다. 공격자들은 자신의 활동을 감추기 위해 새로운 방법을 도입하여 공격을 추적하고 그 원인을 파악하는 작업을 더욱 복잡하게 만들었습니다.

프레데터 스파이웨어 인프라의 부활

2024년에는 공개적인 신고와 미국 정부의 제재로 인해 프레데터 스파이웨어 활동이 급격히 감소했습니다. 당시에는 스파이웨어 남용을 억제하기 위한 전 세계의 정치적 노력이 상당한 진전을 보이고 있는 것처럼 보였습니다. 하지만 인식트 그룹의 최근 연구 결과에 따르면 프레데터 인프라가 다시 등장하고 있습니다. 콩고민주공화국(DRC)과 앙골라를 포함한 여러 국가에서 프레데터와 연결된 새로운 인프라가 발견되었습니다.

주로 정부 기관에서 사용하는 이 정교한 스파이웨어를 통해 공격자는 기기에 침투하여 메시지 및 연락처와 같은 민감한 데이터에 액세스하고 사용자 모르게 카메라와 마이크를 활성화할 수도 있습니다.

인프라 및 회피 전술의 변화

프레데터의 운영자들은 탐지를 피하기 위해 인프라를 크게 강화하여 복잡성을 더했습니다. 새로운 인프라에는 고객 운영을 익명화하여 스파이웨어를 사용하는 국가를 식별하기 더욱 어렵게 만드는 다계층 전달 시스템에 추가 계층이 포함되어 있습니다. 이러한 변화로 인해 연구자와 사이버 보안 방어자들은 프레데터의 확산을 추적하기가 더 어려워졌습니다.

이러한 변경 사항에도 불구하고 운영 방식은 거의 동일하게 유지됩니다. 이 스파이웨어는 계속해서 '원클릭' 및 '제로 클릭' 공격 벡터를 모두 사용하여 브라우저 취약성과 네트워크 액세스를 악용하여 표적 디바이스에 설치될 가능성이 높습니다. 페가수스와 같은 완전 원격 제로 클릭 공격에 대한 보고는 없지만, 프레데터는 여전히 유명 인사를 노리는 공격자들에게 위험한 도구로 사용되고 있습니다.

여전히 위험에 노출된 유명 타깃

프레데터의 귀환에서 가장 우려되는 측면 중 하나는 유명 인사들을 지속적으로 표적으로 삼을 가능성이 있다는 점입니다. 정치인, 경영진, 언론인, 활동가들은 정부나 기타 악의적인 행위자에게 정보를 제공한다는 점에서 가장 높은 위험에 노출되어 있습니다. 프레데터 라이선스 비용이 비싸기 때문에 운영자는 전략적이고 가치가 높은 표적에만 프레데터를 사용해야 합니다.

특히 정치적 반대 세력에 대한 용병 스파이웨어의 광범위한 사용은 유럽 연합과 같은 지역에서 우려를 불러일으켰습니다. 그리스와 폴란드의 조사에서 이미 야당 인사 및 언론인을 대상으로 스파이웨어가 어떻게 사용되었는지 밝혀져 이러한 감시의 합법성과 윤리에 대한 심각한 의문이 제기되고 있습니다.

방어 모범 사례

프레데터의 새로운 존재감과 인프라의 정교함을 고려할 때 개인과 조직은 경계를 늦추지 말아야 합니다. 인식트 그룹은 프레데터 스파이웨어의 침입 위험을 완화하는 데 도움이 될 수 있는 몇 가지 방어 조치를 설명했습니다:

  1. 정기적인 소프트웨어 업데이트 - 프레데터와 같은 스파이웨어가 악용하는 취약점을 줄이려면 디바이스를 최신 보안 패치로 최신 상태로 유지하는 것이 중요합니다.
  2. 장치 재부팅 - 장치를 주기적으로 재부팅하면 지능형 스파이웨어를 완전히 제거하지는 못하지만 스파이웨어의 작동을 방해할 수 있습니다.
  3. 잠금 모드 - 디바이스에서 잠금 모드를 활성화하면 무단 액세스 및 악용 시도를 차단하는 데 도움이 됩니다.
  4. 모바일 디바이스 관리(MDM) - 조직은 MDM 시스템을 구현하여 직원 디바이스를 관리하고 보호하여 보안 프로토콜을 준수할 수 있습니다.
  5. 보안 인식 교육 - 스피어피싱 및 기타 사회 공학 수법에 대해 직원들에게 교육하면 스파이웨어 공격에 당할 가능성을 줄일 수 있습니다.

이러한 조치는 정부, 시민 사회 또는 기업 경영진과 같이 민감한 역할을 수행하는 개인에게 특히 중요합니다.

스파이웨어의 미래와 글로벌 규제

스파이웨어 사용을 억제하려는 노력에도 불구하고 용병 스파이웨어 시장은 계속 성장할 것으로 예상됩니다. 감시 도구에 대한 수요가 계속 증가함에 따라 새로운 제품을 개발하고 보안 방어를 우회하는 방법을 찾는 기업이 더 많이 등장할 것입니다. 스파이웨어의 수익성과 업계 내 경쟁으로 인해 앞으로 더욱 정교한 도구가 등장할 가능성이 높습니다.

이러한 위협에 대응하여 스파이웨어를 규제하기 위한 전 세계적인 노력은 계속되고 있습니다. 유럽 연합에서 진행 중인 조사와 같은 조사가 스파이웨어 판매 및 사용에 대한 더 엄격한 규제로 이어질 수 있습니다. 그러나 국제적으로 중대한 조치가 취해질 때까지 프레데터와 이와 유사한 도구는 지속적인 위협으로 남을 것입니다.

결론

프레데터 스파이웨어의 재등장은 용병 스파이웨어의 위험성이 커지고 있음을 극명하게 보여줍니다. 초기의 제재와 공개적인 노출로 인해 프레데터의 존재감이 줄어든 것처럼 보였지만, 최근의 상황은 프레데터가 여전히 활발하게 활동하고 있음을 보여줍니다. 인프라가 진화하면서 사용자를 추적하고 식별하기가 더 어려워졌지만, 개인과 조직은 올바른 사이버 보안 관행을 마련하면 공격 대상이 될 위험을 줄일 수 있습니다.

스파이웨어 시장이 계속 확장됨에 따라 정부와 사이버 보안 전문가는 이러한 위협에 한발 앞서 대응하는 것이 필수적입니다. 프레데터와 같은 도구로 인한 피해를 최소화하기 위해서는 공개적인 신고, 지속적인 연구, 강력한 규제가 중요합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

부록 A — 침해 지표

도메인:
happytotstoys[.]com
holidaypriceguide[.]com
lesautreseux[.]com
masoloyakati[.]com
noisyball[.]com
니랑고브레이[.]닷컴
toysfourtots[.]com
yokananu[.]net


IP 주소
169.239.129[.]76
185.123.102[.]40
185.235.137[.]6
185.243.113[.]169
185.243.113[.]169
193.29.56[.]252
193.29.59[.]164
45.86.163[.]178
98.142.253[.]18



부록 B — Mitre ATT&CK 기법

전술: 기법 ATT&CK 코드
자원 개발: 인프라 확보 도메인 T1583.001
자원 개발: 인프라 확보: 가상 사설 서버 T1583.003
자원 개발: 인프라 획득: 서버 T1583.004
초기 액세스: 스피어피싱 링크 T1566.002

관련