코지 베어
코지 베어(Cozy Bear)는 러시아 해킹 그룹이다. APT29라고도 부른다. 코지는 '은밀한, 안락한, 편안한'이라는 뜻이다.
역사 편집
소련 KGB는 러시아 국내정보국 FSB, 해외정보국 SVR로 분리되었는데, 코지 베어는 두 정보국의 지시를 받는 해킹 그룹이다.
러시아는 소련 국가보안위원회(KGB)의 후신인 연방보안국(FSB)에 사이버전 전담 부서를 두고 사이버 무기 개발과 전문가 양성에 힘을 쏟고 있다.
클린턴 민주당 대선후보의 선거대책위원회 위원장이었던 존 포데스타장의 이메일 해킹에 사용된 수법은 우크라이나에서 사용된 GRU의 해킹과 동일한 수법이었다. GRU는 지난 2014~2016년 사이 동부 우크라이나 지방의 반(反) 러시아 무장 세력들이 사용하고 있는 안드로이드 휴대전화에 악성 프로그램을 유포했었다.[1] 옛 소련의 국가안보위원회(KGB) 후신인 연방보안국(FSB) 해킹팅 APT29와 러시아군 정보총국(GRU) 해킹팀 APT28이 미국 민주당 전국위원회를 해킹한 것으로 추정된다.
미 보안업체인 크라우드스트라이크(CrowdStrike)에 따르면 2015년 여름 러시아 해커들은 DNC 서버에 침입했고 약 1년간 데이터 접속 권한을 유지했다. 당시 민주당 진영과 힐러리 캠프가 주고받은 내부 이메일이 위키리크스를 통해 공개됐고 클린턴 진영은 타격을 입었는데 출처는 뻔했다. 당시 주범 격으로 지목됐던 게 또 다른 러시아 해커 조직인 APT28이었고 APT29는 공범 격으로 활동을 함께했다.[2]
2017년 1월 24일, 러시아 연방보안국(FSB)은 지난해 자국 사회기반시설을 표적으로 한 해외발 사이버 공격 7000만 건을 차단했다고 밝혔다. 러시아투데이(RT)에 따르면 니콜라이 무라쇼프 FSB 대변인은 이날 두마(하원) 정보 위원회에 출석해 이 같이 말했다. 그는 사이버 공격의 진원 대부분이 외국이라고 강조했다. 무라쇼프 대변인은 대규모 사이버 공격을 막아 낼 준비를 갖추고 있다며 "현재 러시아는 정보 보안 방법 개발과 관련해 막대한 잠재력을 보유하고 있다"고 주장했다.
2017년 3월 15일, 미국 법무부는 2014년 포털 야후의 대규모 해킹 사건 용의자로 러시아 연방보안국(FSB) 요원 2명과 이들이 고용한 해커 2명을 기소했다고 발표했다. 美법무부에 따르면, 러시아 FSB 요원과 해커들의 공격으로 피해를 입은 곳으로는 야후뿐만 아니라 여러 다국적 기업과 금융기관, 항공사, 자산관리회사, 백악관, 군 관련 조직, 외교 관련 부서 등도 포함돼 있다고 한다.
2019년 12월 5일, FBI가 막심 야쿠베츠(32)를 기소했다. 사이버범죄 최고액인 500만달러 현상수배를 내렸다. 미 재무부는 야쿠베츠가 2017년을 기해 러시아 첩보기관인 연방보안국(FSB)을 위해 일했으며 "러시아를 위한 프로젝트를 수행하는 임무를 맡았다"고 밝혔다. 미국에서 도난당한 것만 10년에 걸쳐 7천만 달러이고 세계적으로 알려진 피해액수만 1억달러가 넘는다고 관리들이 말했다. 최소 300개 은행이 이 같은 사기 절도를 당했고 개인 피해자는 세계적으로 수천 명에 달할 수 있다고 관리들은 덧붙였다. 막심 야쿠베츠(32)와 공범인 이고르 투라셰프는 현재 러시아에 머물고 있는 것으로 알려졌다.
2020년 7월 16일, 영국 국립사이버안보센터(NCSC)는 성명을 통해 러시아 정부의 후원을 받는 해커 집단이 영국 학계와 제약업계에서 내놓은 코로나19 백신 연구 결과를 탈취하려 했다고 발표했다. 이른바 코지 베어로 불리는 러시아 해커 그룹 APT29가 각국 학계 및 제약업계의 코로나19 백신 연구 성과를 해킹하려 했다고 밝혔다.
해킹수법 편집
러시아 해킹 그룹 이름에 따라붙는 APT(Advance Persistent Threat)는 지능형 지속 공격을 의미한다. 우리에게 익숙한 디도스(DDoS) 공격과 함께 지금은 사이버 공격의 주류로 평가받고 있다. 불특정다수가 아니라 특정 조직을 대상으로 공격한다는 점, 짧게 치고 빠지는 게 아니라 은밀하게 오랫동안 공격한다는 점이 특징이다. 보안업체 포티넷은 APT 공격 기간이 평균 1년 정도라고 밝혔다. 일정한 공격 패턴은 없는데 보통은 사람을 노리는 경우가 많다. 내부 직원의 PC를 이메일이나 가짜 홈페이지를 통해 감염시켜 통제하는 경우가 대표적이다. 이렇게 가로챈 PC로 서버나 데이터베이스에 접근해 정보를 빼내거나 파괴하는 해킹을 생각하면 쉽다.[3]
연방정보국 해킹그룹인 코지베어는 조용한 곰으로, 보통 적극적인 공격활동은 군정보국 해킹그룹인 팬시베어가 수행하며, 코지베어는 적극적으로 해외를 공략하는 그런 작전은, 하기는 하지만, 주된 임무는 아니라고 알려져 있다.