2015년 5월 8일, 독일 연방의회 의사당 기술지원 센터에 117 핫라인 전화벨이 울렸다. 담당자가 전화를 받자 여직원의 다급한 목소리가 들려왔다. 키보드로 액센트가 입력되지 않는다는 것이다. 예를 들어 “René”라는 이름을 입력하려고 키보드를 눌러도 액센트만 입력이 안된다. 트로이 감염이 의심되는 대표적인 증상이었다. 조사가 시작되었고 독일 연방의회 해킹 사고는 이렇게 해서 세상에 알려졌다. 메르켈 총리 컴퓨터와 이메일 데이터도 도난당했다는 것이 추가로 밝혀졌다. 슈피겔誌가 2015년 5월 15일 이 사건을 최초 보도했다.
그로부터 1년이 지난 2016년. 로이터 보도에 의하면 독일연방헌법보호청(Bundesamt für Verfassungsschutz, BfV)은5월 13일 이 공격이 러시아 첩보기관들이 배후인 소파시라는 해킹 그룹의 소행이며, BfV는 이에 대한 증거를 확보하고 있다고 주장했다고 한다.
독일 연방의회 해킹에 대해 좀 더 자세히 알아보자. 2015년 5월 독일 하원에 제출된 보고서에 의하면, 독일 하원 좌파당 서버 2대에서 2개의 맬웨어(winexesvc.exe, svchost.exe.exe)가 발견되었다고 한다. winexesvc.exe는 리눅스 호스트에서 윈도우 호스트로 원격지 커맨드를 보내는 용도의 오픈소스 애플리케이션이다. svchost.exe.exe는 특수 제작된 맬웨어로 침입한 네트워크에 접속해 접속 상태를 유지하는 백채널 터널 역할을 수행했다. 이 2개의 맬웨어는 관리자 권한으로 연방의회 네트워크를 휘젓고 다니며 데이터를 빼내기에 충분했다.
하지만 이 사고는 단순한 해킹이 결코 아니었다. 트로이 발견 4주가 지나도록 해결될 기미는 보이지 않았다. 보안팀들은 맬웨어를 완전히 제거하지 못했다. 트로이는 여전히 활성화되어 있었기 때문이다. 조사를 담당한 의회 보안 관리팀과 카오스 컴퓨터 클럽은 소프트웨어만 교체해서 될 문제가 아니며, 하드웨어의 전면 교체가 필요할지도 모른다는 의견을 내놓았다. 이 해킹의 영향을 받는 컴퓨터는 2만여대로 하드웨어까지 교체하는 경우 수백만 유로가 소요된다.
이 사건을 독일연방헌법보호청(Bundesamt für Verfassungsschutz, BfV)으로 이관하자는 의견도 나왔다. 외국 첩보 기관의 도움을 요청하자는 의견도 나왔다. 그러나 연방의회 자료를 정부기관이나 외국 기관에 보여주면 안된다는 목소리도 높았다. 그러는 동안에도 트로이는 계속해서 해외 서버로 데이터를 계속해서 전송하고 있었다. 사고 발견 당시 빼돌린 데이터는 12.5 GB, 그 다음주에 3.5 GB를 추가로 전송했다. 결국 의회는 8월 20일 저녁 의회 컴퓨터를 모두 끄고 며칠 동안 보수 작업에 들어갔다.
독일 카오스 컴퓨터 클럽 대변인 Dirk Engling 보고에 의하면 서버 14대가 트로이에 감염되어 프랑스에 위치한 것으로 위장한 서버를 통해 데이터를 주고받았고, 앙겔라 메르켈 수상의 컴퓨터와 이메일에도 접속했다고 한다. 공격자는 피싱 메일을 통해 감염시킨 것으로 드러났다. 2015년 4월 30일 유엔에서 발송한 것으로 위장된 메일 본문에는 “News Bulletin” 이라는 링크가 포함되었고 클릭하면 감염된 웹사이트로 연결되었다. 피싱 메일은 다른 곳에도 발송되어 피해는 훨씬 규모가 클 것으로 추정되었다.
이 공격 배후가 러시아 정부라는 주장은 사건 초기부터 제기되었다. 의회 보고서를 작성한 독일 보안 연구원 Claudio Guarnieri는 비록 정확한 증거는 없지만 소파시 그룹 소행으로 보인다고 보고서에 언급하고 있다. 작년 독일 연방정보보안청(BSI)이 발행한 비밀로 분류된 사고 분석 보고서에도 소파시가 언급되어 있다.
소파시는 한 해킹 그룹을 지칭하는 이름이다. “지칭”이라고 하는 이유는 이 해킹 그룹의 정식 명칭이 알려져 있지 않기 때문이다. 그래서 보안업체마다 임의의 이름을 사용한다. 파이어아이社는 APT28이라고 부르고, 트렌드마이크로社는 Pawn Storm이라고 부른다. Fancy Bear, Sednit 라고도 불린다.
소파시라는 이름이 붙여진 이유는 공격에 Sourface 혹은 Sofacy라 불리는 다운로더가 사용되었기 때문이다. APT28이라는 명칭은 APT(Advanced Persistent Threat) 공격 패턴을 사용하기 때문에 붙여졌다. APT는 네트워크에 불법 접속해 오랜 기간 발각되지 않고 머무르는 공격을 지칭하는 용어로 고도의 치밀한 ‘지능성’과, 오랜 준비 기간, 잠복, 접속 유지라는 ‘지속성’이 특징이다. 네트워크나 조직에 피해를 유발하기 보다는 데이터를 훔치는 데 주로 사용되고 있다.
소파시가 어떤 해킹 그룹인지 실체가 드러난 적은 없다. 해킹 사고 분석을 통한 추정이 있을 따름이다. 예를 들어 파이어아이는 소파시를 러시아 해커 그룹이라고 추정한다. 이유는 공격에 사용된 맬웨어가 러시아 언어 빌드 한경에서 컴파일 되었고, 컴파일한 시간대가 모스크바 업무 시간대이기 때문이다. 맬웨어의 약 96%가 모스크바 시간으로 월요일에서 금요일 오전 8시에서 오후 6시 사이에 컴파일 되었다면 모스크바에 거주하는 직업적인 해커의 소행으로 짐작될 수 있다. 이런 방식으로 현재까지 소파시에 관하여 파악된 정보는 2006년 혹은 2007년부터 활동 개시, 러시아 해커들로 구성, 배후는 러시아 정부, 공격 대상은 정부, 군사, 첩보기관이라는 것 등등이다.
독일의회 해킹 보고서를 작성한 Claudio Guarnieri가 이 공격을 소파시 그룹의 소행으로 추정하는 것도 마찬가지 이유에서다. 그 역시 공격을 분석하면서 피싱 기법, 위장 도메인 생성 방법, 커맨드앤컨트롤 서버상에 남긴 실수 등등 소파시의 소행으로 의심되는 정황들을 많이 발견했으며, 이는 파이어아이가 2014년 10월 27일 발표했던 APT28 보고서와 일치했다.
트렌드 마이크로는 얼마 전(5월 11일) Claudio Guarnieri 보고서를 언급하며 올 4월 소파시가 메르켈 총리 소속당인 독일의 기독민주당(CDU)에 대하여 새로운 공격을 시작한 것을 발견했다고 전했다.
작년 독일을 떠들썩하게 만들었던 의회 해킹 사건은 BfV의 주장대로 러시아 정부의 소행일까? 메센 국장은 독일 정부, 기업, 교육시설이 “지속적인 위협”을 받고 있으며, 에너지와 통신 부문과 같은 주요 기반시설에 특히 집중되고 있다고 말했다. 또한 과거에는 첩보를 얻기 위한 스파이 활동이 공격 목적이었지만 최근 들어 러시아 첩보기관들은 (시설을 파괴하는) 사보타주도 행하고 있다고 덧붙였다. 하지만 러시아 정부의 소행이라고 단정짓는 구체적 이유나, BfV가 확보했다는 증거가 무엇인지에 관하여는 언급하지 않았다.
