이란 APT의 핵심 수법으로 남아 있는 소셜 엔지니어링

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 이란의 사회 공학 사례와 방법론을 다룹니다. 이 보고서는 이란의 개인과 조직에 대한 이란 공격자의 공격을 더 잘 이해하고, 대비하고, 선점하려는 사람들에게 도움이 되며, 이란의 사회 공학과 관련된 주제를 연구하는 이란 전문 분석가들이 그들의 일반적인 목표, 조직, 목적을 이해하는 데 도움이 됩니다. 출처로는 Recorded Future® 플랫폼과 Microsoft, Proofpoint, ClearSky, FireEye, Mandiant, CitizenLab의 업계 보고서 및 기타 오픈 소스 등이 있습니다.

Executive Summary

2010년 이후 친이란 정부의 사이버 침입은 스피어피싱 공격을 통해 실행되거나 일대일 교전을 통해 직접 실행되는 등 사이버 공격 라이프사이클의 구성 요소로서 사회 공학에 의존하고 있습니다. 이란의 공격자들은 외국 정부, 군대, 기업, 정치적 반체제 인사들을 표적으로 삼아왔습니다. 이들의 작전은 연구된 많은 '영향력의 원리'를 사용하는 것으로 보이며, 사회 공학 방법론에 영향을 미치는 인간 정보(HUMINT) 채용 관행과 겹치는 부분이 있습니다.

이란 정부의 공격 및 방어적 '소프트 전쟁'에 대한 전략적, 전술적 접근 방식에 대한 연구에 따르면 사회 공학은 최소 10년 동안 의존해 온 이란 정부의 사이버 역량에 없어서는 안 될 요소입니다. 테헤란은 외국 세력이 국내 격변을 선동하는 것을 자국 영토에 대한 군사 공격만큼이나 위험한 것으로 간주하고 있습니다. 마찬가지로, 국제적으로 사회 불안을 조장하는 능력은 적으로 인식되는 적을 공격할 수 있는 능력입니다. 테헤란은 외국 사회, 언어, 문화, 정치 시스템을 이해하고 분석함으로써 러시아 위협 활동 그룹과 비슷한 방식으로 사회 공학을 활용할 수 있었습니다. 

대규모 소셜 엔지니어링 캠페인은 주로 APT35, 토르토이즈쉘, APT34 및 이와 관련된 하위 그룹에 의해 실행되었습니다. 이란과 연계된 이 세 그룹은 다른 지능형 지속적 위협 그룹(APT)의 운영 방식에 비해 작전 수행 능력이 떨어지지는 않지만, 피해자를 표적으로 삼는 방식이 상당 부분 겹치는 것으로 나타났습니다. 여기에는 카리스마 넘치는 양말 인형의 사용, 장래의 취업 기회 미끼, 언론인의 권유, 싱크탱크 전문가로 가장하여 의견을 구하는 행위 등이 포함됩니다. 이들은 2014년 이란의 소셜 엔지니어링에 대한 첫 번째 주요 폭로인 오퍼레이션 뉴스캐스터가 공개적으로 보고된 이후 이 3개의 이란 APT가 계속 사용해 온 페르소나 중 일부에 불과합니다. 

주요 판단

• 사회 공학의 사용은 사이버 스파이 활동과 정보 작전을 수행할 때 이란 APT 기법의 핵심 요소입니다. 이란 APT는 피싱, 스푸핑, 스미싱 및 기타 기법을 포함하여 피해자를 표적으로 삼는 수법을 계속 수정할 것입니다.
• 여러 이란 위협 활동 그룹이 사회 공학을 사용합니다. APT35, APT34, 토르토이즈쉘은 침입 또는 인증정보 도용을 위해 소셜 엔지니어링을 가장 빠르고 공격적으로 채택한 그룹 중 하나입니다. 이러한 그룹은 앞으로도 계속해서 사회 공학 기술을 이용한 공격을 주도할 것으로 예상됩니다.
• 이란의 소셜 엔지니어링 공격 패턴을 보면 이메일, 소셜 미디어, 채팅 메신저를 공격 경로로 통합하여 공격 대상을 여러 플랫폼으로 유도하는 것을 목표로 하고 있습니다. 악성 문서와 애플리케이션은 공격 대상과 일대일 양말 인형 공격을 통해 계속 유포될 것입니다.
• 보고된 다양한 이란의 사회공학적 공격은 모집 제안, 저널리즘 목적 또는 정치적 분석을 위한 표적 모집 제안, 연애 제안, 반정부 활동으로 추정되는 접근 방식을 공유하고 있습니다. 
• 외국어 사용과 외국 사회 및 문화에 대한 지식은 앞으로도 표적 사회공학적 공격의 핵심적인 역할을 할 것입니다. 이란 APT는 영어와 주요 유럽, 중동, 남아시아 언어 등 주요 언어 구사 능력을 향상시키고 있습니다.

배경

이란 해커 포럼에는 의심하지 않는 피해자를 표적으로 삼는 데 필요한 기술에 대한 하위 스레드가 다수 포함되어 있어 이란의 소셜 엔지니어링의 성장을 추적할 수 있습니다. 소셜 엔지니어링을 다른 해킹 분야와 구분한 최초의 사례로 '시모크 보안팀'을 들 수 있습니다. 이 그룹의 구성원들은 소셜 엔지니어는 설득력 있고 명료하며 강력한 분석 및 정보 수집 능력을 갖춰야 한다고 주장했습니다.

이란의 친정부 사이버 교리에 포함된 이란의 방어 및 공격 사이버 능력의 구성 요소인 사회 공학은 '소프트 전쟁'(جنگ نرم)과 같은 제도화된 이데올로기에서 그 기원을 찾을 수 있습니다. 소프트 워의 개념은 2010년에 확립되었으며, 이슬람 공화국의 불안정화와 몰락으로 이어질 수 있는 전복 또는 정치적, 종교적, 경제적, 문화적 이상에 대응하는 것을 목표로 합니다. 이러한 목표는 이란의 군사 및 정보 조직에 깊이 뿌리내린 신뢰할 수 있는 전문가 네트워크를 통해 달성될 가능성이 높습니다. 

예를 들어, 케르만주의 이슬람혁명수비대(IRGC) 사령관(사룰라 군단)은 적의 영향력과 허위 정보 캠페인에 대응하기 위해 이란의 '엘리트'를 송환하는 역할을 인정하면서 이들이 "적의 불균형적인 소프트 전쟁과 심리 작전(PSYOPS)"에 맞서는 투쟁의 핵심이라고 선언했습니다. 이러한 맥락에서 엘리트란 해외에서 교육과 취업 기회를 찾도록 지시받은 정권에 가까운 고학력 이란인을 지칭합니다.

IRGC와 그 보조 세력인 바시즈, 그리고 정보보안부(MOIS)는 2010년부터 연성전에 대응하기 위해 현장에서의 역할을 강화해 왔습니다; 바키아탈라 알 아잠 사회문화기지(قرارگاه بقیةالله الاعظم)와 같이 적어도 이름만으로는 소프트 전쟁에 전념하는 여러 작전 기지를 설립했습니다. 현재 바키아탈라 기지는 IRGC의 전 사령관인 모하마드 알리 자파리 장군이 이끌고 있는데, 그는 2021년 11월 이 문제에 대해 이슬람 공화국의 적들이 기지를 파괴하려는 목표를 가지고 있으며 "소프트, 문화, 미디어 전쟁"은 물리적인 전쟁보다 싸우기 더 어렵다고 주장한 바 있습니다. 

오픈 소스 분석은 이 분야에서 테헤란의 전략적 위협 인식을 언급했습니다. 2010년 초 이란은 2009년 녹색 운동으로 인해 발생한 체제 위협에 이어 소셜 미디어 플랫폼을 "사이버 전쟁 위협의 요소... 특히 이란 내 불화를 '선동'하기 위해 온라인에서 유언비어가 퍼지는 방식"으로 간주했습니다. 이란은 다른 빅4(러시아, 중국, 북한) 적대국들과 함께 미국 정부를 포함한 적국에 대해 동일한 위협 계산법을 전략적으로 활용하는 것으로 입증되었습니다.

이란의 사회 공학은 모하메드 칼크 조직(MEK), 이란 저항국가위원회(NCRI) 같은 반혁명 전선과 이란이 적으로 간주하는 미국, 영국, 이스라엘, 사우디아라비아 등 국내 적에 대한 방어 및 공격 캠페인을 수행하기 위해 외국어와 문화를 사용하는 것을 매우 강조합니다. 친정부 활동가들은 적대적인 사회와 문화를 충분히 잘 이해하여 이를 모방할 수 있으며, 이러한 능력은 성공 여부와 관계없이 정보 작전, 스파이 활동, 사이버 침입에서 드러납니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.