[주의!] 문서의 이전 버전(에 수정)을 보고 있습니다. 최신 버전으로 이동
이 문서는 분류가 되어 있지 않습니다. 분류:분류에서 적절한 분류를 찾아 문서를 분류해주세요!
1. TV5Monde 해킹 및 IS 사칭 사건[편집]
2015년 4월 8일 8시 40분(현지 시간), TV5MONDE의 12개 채널이 갑작스럽게 방송 중단되고[1] 방송국 공식 웹사이트와 소셜 미디어 계정(페이스북, 트위터, 유튜브)이 해킹되었다. 이후 웹사이트와 소셜 미디어에 지하디스트 선전 메시지들이 게시되었으며, 프랑스 군인들의 가족 개인정보 및 당시 프랑스 대통령이었던 프랑수아 올랑드를 비판하는 글도 게시되었다. 이후 공격자들은 자신을 이슬람국가(IS)와 연계된 단체라고 주장했다.
해커들은 2015년 1월 23일에 처음 네트워크에 침투한 것으로 확인되었으며[2], 약 3개월간 방송 신호 전송 방식과 내부 시스템의 구조를 파악한 것으로 보인다. 이후 시작된 침투는 총 7개의 경로[3]을 통해 이루어졌다.
공격 당일엔 소셜 미디어를 장악한 후, 네트워크를 무력화시키기 위해 스위치와 라우터의 펌웨어를 삭제하는 명령어를 실행했다. [4]그러나 그 날은 새로운 채널 런칭 행사로 인해 기술자들이 현장에 있었던 날이었기에 완전한 시스템 붕괴는 일어나지 않았다.
이 사건이 보도된 이후 초기에는 사이버 칼리파트가 IS의 실제 연계 조직으로 의심받았고, 이는 샤를리 엡도 총격 테러사건 이후 프랑스 내 테러 위협이 고조된 상황과 연계되어 사회적 혼란을 야기시켰다. 그러나 FireEye와 Trend Micro같은 보안 업체와 ANSSI의 후속 조사 결과 공격의 배후에는 IS가 아닌 팬시베어가 있던 것으로 결론났다.[5] 참고로 이는 팬시베어가 과거에도 사용했던 방법이며, 진짜 의도를 감추고 혼란을 극대화하려는 목적이 있었다.
TV5Monde 공격의 정확한 동기는 아직 명확히 밝혀지지 않았다. TV5Monde의 사장은 BBC 인터뷰에서 "왜 우리가 표적이 되었는지 모른다"고 밝혔으며, 조사에서도 명령의 출처나 자금 흐름도 확인되지 않았다. 몇몇 영국과 미국 정보기관은 러시아가 사이버 무기를 시험하고 서구 국가에 대한 공격 능력을 과시하려는 시도로 해석하기도 하나 확실한 것은 없다.
이후 TV5Monde는 사건이 일어난 해에 약 500만 유로(약 56억 원), 이후 매년 300만 유로(약 34억 원) 이상을 보안 강화에 투자했다. 이메일 인증, USB 점검 의무화 등 내부 업무 방식의 큰 변화가 있었으며, 이는 뉴스 미디어로서의 효율성을 크게 떨어뜨리는 결과가 되었다.
해커들은 2015년 1월 23일에 처음 네트워크에 침투한 것으로 확인되었으며[2], 약 3개월간 방송 신호 전송 방식과 내부 시스템의 구조를 파악한 것으로 보인다. 이후 시작된 침투는 총 7개의 경로[3]을 통해 이루어졌다.
공격 당일엔 소셜 미디어를 장악한 후, 네트워크를 무력화시키기 위해 스위치와 라우터의 펌웨어를 삭제하는 명령어를 실행했다. [4]그러나 그 날은 새로운 채널 런칭 행사로 인해 기술자들이 현장에 있었던 날이었기에 완전한 시스템 붕괴는 일어나지 않았다.
이 사건이 보도된 이후 초기에는 사이버 칼리파트가 IS의 실제 연계 조직으로 의심받았고, 이는 샤를리 엡도 총격 테러사건 이후 프랑스 내 테러 위협이 고조된 상황과 연계되어 사회적 혼란을 야기시켰다. 그러나 FireEye와 Trend Micro같은 보안 업체와 ANSSI의 후속 조사 결과 공격의 배후에는 IS가 아닌 팬시베어가 있던 것으로 결론났다.[5] 참고로 이는 팬시베어가 과거에도 사용했던 방법이며, 진짜 의도를 감추고 혼란을 극대화하려는 목적이 있었다.
TV5Monde 공격의 정확한 동기는 아직 명확히 밝혀지지 않았다. TV5Monde의 사장은 BBC 인터뷰에서 "왜 우리가 표적이 되었는지 모른다"고 밝혔으며, 조사에서도 명령의 출처나 자금 흐름도 확인되지 않았다. 몇몇 영국과 미국 정보기관은 러시아가 사이버 무기를 시험하고 서구 국가에 대한 공격 능력을 과시하려는 시도로 해석하기도 하나 확실한 것은 없다.
이후 TV5Monde는 사건이 일어난 해에 약 500만 유로(약 56억 원), 이후 매년 300만 유로(약 34억 원) 이상을 보안 강화에 투자했다. 이메일 인증, USB 점검 의무화 등 내부 업무 방식의 큰 변화가 있었으며, 이는 뉴스 미디어로서의 효율성을 크게 떨어뜨리는 결과가 되었다.
2. 소파시 캠페인[편집]
2007년에서 약 6년간 존재했던 동유럽 및 러시아 주변국에서 보인 스파이 활동. '소파시'라는 이름은 이들이 주로 사용했던 "Sofacy" 라는 이름의 트로이목마에서 유래했다.
2.1. 조지아 전쟁 연계 공격[편집]
실질적으로는 공격이라기보다 수행력을 테스트하고 경험을 쌓으려고 했던 시도로 여겨진다.
2.2. 동유럽 나토 훈련 공격[편집]
2.3. 우크라이나 정부 공격[편집]
[1] 18시간 동안 송출 불가 상태에 있었다.[2] 정확히 어떻게 침투하였는지는 미지수이나, 그 동안의 행적을 보았을 때 피싱 이메일을 직원 누군가가 열어보았을 가능성이 높다.[3] 직원 PC나 서버의 취약점. 그 중에는 TV5Monde 외부인 네덜란드에 기반을 둔 원격 제어 카메라 공급업체도 존재하였다.[4] 다행히도(?) 전체 시스템을 지우지는 않았다.[5] 조사에서 공격에 사용된 인프라가 과거 해당 그룹의 활동과 유사한 IP 블록 및 서버를 사용했다는 점, X-Agent와 유사한 코드 및 러시아어 컴파일 흔적, 타임존 설정과 코드 내 메타데이터가 모스크바 시간대(MST)와 일치하다는 점이 근거라고 한다. 또한 IS 관련 메시지라고 올린 내용이 어색한 문법과 비전형적인 표현으로 이루어져 있었다는 것도 한몫했다.