[CCTV뉴스=이승윤 기자] 파이어아이(FireEye)는 중요 기반 시설의 산업 제어 시스템(ICS)에 영향을 미친 악성코드 트리톤 침입(TRITON intrusion)이 사이버 첩보조직인 템프벨레스(TEMP.Veles)의 활동과 연관이 있다고 30일 밝혔다. 또한, 트리톤 침입 건과 관련해 템프벨레스와 러시아 정부가 소유한 연구 기관과의 연관성도 함께 공개했다.
파이어아이는 트리톤 설치를 위한 침입활동을 이끈 곳이 모스크바에 위치한 러시아 정부 소유의 중앙화학역학과학연구소(Central Scientific Research Institute of Chemistry and Mechanics, 이하 CNIIHM)일 가능성이 매우 높다고 판단했다.
파이어아이는 템프벨레스의 활동을 지원하는 가능성이 높은 악성코드 개발 활동을 발견. 이러한 활동에는 템프벨레스의 트리톤 침입 시 사용된 일부 악성 소프트웨어 버전들의 테스트도 포함돼 있으며, 테스트 활동을 조사한 결과, 다수의 독립적인 활동들이 러시아, CNIIHM, 러시아에 있는 특정 개인으로 이어져 해당 인물의 온라인 활동에서 CNIIHM과의 밀접한 연관성 발견 등을 근거로 제시했다.
비록 파이어아이는 CNIIHM의 직원이 상사의 허가 없이 템프벨레스의 활동을 추진했을 가능성도 배제할 수 없으나, 조사에 따르면 이러한 경우는 템프벨레스가 연구소의 후원으로 활동했을 타당성보다는 낮다고 밝혔다.
파이어아이는 템프벨레스의 활동을 조사하는 동안 이들이 공격대상의 환경에 설치한 다수의 고유한 툴을 발견했다. 해시(hash)로 일부 동일한 툴을 확인하였으며 이들은 한 유저가 악성코드 테스트 환경에서 시험한 바 있다.
또한, CNIIHM과 연결된 테스트 활동, 악성코드 아티팩트, 악의적인 행위가 있는 가능성도 시사된다. 특히 PDB 경로가 포함된 테스트된 파일에는 고유한 아이디 또는 사용자 이름으로 보이는 문자열 포함. 해당 사용자 이름은 적어도 2011년부터 러시아 정보 보안 커뮤니티에서 활동 중인 러시아에 있는 인물로 연결, 템프벨레스가 촉발한 것으로 의심되는 사고에 CNIIHM에 등록된 87.245.145.140에서 비롯한 악의적인 활동이 포함되는 등 여러 정황상 이 활동이 러시아에서 비롯되고 있으며, CNIIHM과 관련이 있음을 암시한다고 설명했다.
파이어아이는 템프벨레스가 트리톤 공격 프레임워크를 설치했다는 사실은 확인했지만, 아직까지 해당 툴 제작과 CNIIHM이 관련이 있는지는 명확하지 않다. 그러나 연구소가 직접 기재한 기관 목적과 여러 공공 정보를 조합했을 때, 트리톤 개발과 프로토타입화할 수 있는 전문성을 유지하고 있다고 추론했다.
