멕시코 사용자 및 기업을 노리는 사이버 위협
Threat Analysis Group
Mandiant
전 세계 많은 국가들과 마찬가지로 멕시코는 글로벌 및 지역적 위협이 복잡하게 얽힌 사이버 위협 환경에 직면해 있습니다. 이는 멕시코 사회의 주요 부문에 침투하려는 시도를 벌이는 위협 행위자들에 의해 발생합니다. 또한, 전 세계적으로 랜섬웨어와 데이터 탈취가 증가하고 있는데, 멕시코 역시 이런 위협에 노출되어 있습니다.
다양한 동기를 가진 위협 행위자들은 멕시코 사회 전반에서 디지털 인프라를 악용할 기회를 노리고 있습니다. 이번 포스팅에서는 멕시코에 영향을 미치는 사이버 위협 환경에 대한 이해를 바탕으로 구글의 위협 분석 그룹(TAG)과 맨디언트의 최전선 인텔리전스에서 얻은 통찰력을 더해 멕시코가 직면한 현실을 알아봅니다. 참고로 이 내용은 'Google for Mexico' 행사에서도 공유되었습니다.
멕시코를 겨냥한 사이버 스파이 활동
경제 규모가 세계에서 12번째로 나라인 멕시코는 여러 국가의 사이버 스파이 행위자들의 주목을 받고 있습니다. 멕시코를 노리는 사이버 공격의 방식이 다른 나라에서 벌어지는 공격들과 비슷한 패턴을 보입니다. 2020년 이후 10개국 이상의 사이버 스파이 그룹이 멕시코 사용자를 대상으로 했으나, 멕시코를 겨냥한 정부 지원 피싱 활동의 77% 이상은 중화인민공화국(PRC), 북한, 러시아의 그룹에 의해 이루어졌습니다.
그림 1: 멕시코를 겨냥한 정부 지원 피싱 활동, 2020년 1월 ~ 2024년 8월
본 포스팅에서 소개하는 예시는 최근 및 과거에 사이버 스파이 행위자들이 멕시코의 사용자 및 조직을 겨냥한 사례입니다. 이들 사례는 공격자들이 멕시코를 어떻게 공격하려고 했는지, 어떤 방법을 사용했는지를 보여주는 것이지, 실제로 해킹이 성공했는지는 알 수 없습니다.
멕시코를 목표로 삼은 중국 사이버 스파이 활동
2020년 이후로 중화인민공화국(People's Republic of China, 이하 중국)과 연관된 7개의 사이버 스파이 그룹이 멕시코 사용자들을 겨냥한 활동이 관찰되었습니다. 비중으로 보면 이들의 활동은 멕시코에서 발생하는 정부 지원 피싱 활동의 3분의 1을 차지합니다. 중국과 연관된 것으로 보이는 사이버 스파이 활동 규모는 중국 정부의 투자가 집중된 다른 지역들, 예를 들어 중국의 일대일로(One Belt, One Road) 전략에 포함된 국가들에서의 활동과 비슷합니다. 중국이 지원하는 공격 그룹들은 Gmail 사용자뿐만 아니라 멕시코의 정부 기관, 고등 교육 기관, 언론사도 타겟으로 삼고 있습니다.
북한 정부 지원 그룹의 멕시코 타게팅
2020년 이후 북한의 위협 행위자들은 멕시코를 겨냥한 특정 국가가 지원하는 것으로 보이는 피싱 활동의 약 18%를 차지하고 있습니다. 이들은 다른 지역에서 보인 그들의 관심사와 마찬가지로, 암호화폐와 금융 기술 기업을 주요 타겟으로 삼고 있습니다. 북한의 배후에 있는 위협 행위자들 정보 탈취를 위해 현지 회사에 IT 부문 인력으로 취업하는 것도 멕시코에서 관찰되었습니다. 이를 고려할 때 앞으로 멕시코 회사들이 북한 해커들의 공격을 더 많이 받을 가능성이 높아 보입니다.
러시아의 멕시코 대상 사이버 스파이 활동
러시아 사이버 스파이 그룹들은 수년간 멕시코 사용자들을 정기적으로 타겟으로 삼아왔습니다. 그러나 러시아의 우크라이나 전쟁이 시작된 이후, 멕시코를 겨냥한 러시아의 활동은 상당히 줄어들었습니다. 이는 러시아가 우크라이나와 북대서양조약기구(NATO)를 타겟으로 자원을 집중하고 있다는 신호일 가능성이 큽니다. 멕시코를 대상으로 한 러시아 지원 그룹 4곳 중 APT28(일명 FROZENLAKE)이라는 한 그룹이 관련 피싱 활동의 95% 이상을 차지하고 있습니다. 2020년 이후 러시아 사이버 행위자들은 멕시코를 겨냥한 특정 국가 정부가 지원하는 것으로 보이는 피싱 활동의 약 20%를 차지했습니다. 참고로 2023년과 2024년에는 러시아 사이버 행위자들의 비중은 1% 미만이었습니다.
상업적으로 스파이웨어를 만들어 파는 이들의 증가
스파이웨어는 주로 언론인, 인권 옹호자, 반체제 인사, 야당 정치인과 같은 사용자들을 감시하고 데이터를 수집하는 데 사용됩니다. 스파이웨어를 이용하면 많은 정보를 얻을 수 있기 때문에 스파이웨어를 만들고 파는 이들이 많아졌습니다. 정부나 악의적인 집단들은 이런 스파이웨어를 이용해서 사람들을 감시하고, 개인 정보를 빼내고, 심지어는 금전적인 피해를 입히기도 합니다. 구글은 이러한 위험성을 인지하고, 스파이웨어로 인해 피해를 볼 가능성이 높은 사용자들을 보호하기 위해 노력하고 있습니다. 구글은 스파이웨어 공격으로부터 사용자를 보호할 수 있는 다양한 도구를 제공하고 있습니다.
지난 몇 년 동안, 스파이웨어를 사용해 멕시코 시민 사회의 다양한 부문을 타겟으로 한 사례가 다수 보고되었습니다. 여기에는 언론인, 활동가, 정부 관계자 및 그들의 가족이 포함됩니다. TAG는 이전에 상업 스파이웨어 도구의 부정적인 결과를 강조한 바 있습니다. 여기에는 새로운 운영자 및 스폰서에게 정교한 사이버 위협 능력이 확산되고, 제로데이 취약점 발견 및 악용률이 증가하며, 이러한 도구의 대상이 된 사람들에게 해를 끼치는 문제가 포함됩니다. 스파이웨어는 특정 소수만을 노리는 것처럼 보이지만, 사실 우리 사회 전체에 큰 위협을 가하고 있습니다. 특히 멕시코에서는 아직도 많은 스파이웨어가 활동하고 있으며, 이는 민주주의와 표현의 자유를 위협하는 심각한 문제입니다. TAG는 여전히 멕시코에서 활동 중인 돈을 받고 스파이웨어를 만들어 파는 이들을 관찰하고 있습니다. 2024년 4월까지도 멕시코에서 스파이웨어가 멕시코 뉴스 테마의 미끼를 사용해 활용되고 있는 것이 관찰되었습니다.
멕시코 사용자 및 기업을 대상으로 한 사이버 범죄 인사이트
멕시코는 사이버 범죄가 심각한 나라 중 하나입니다. 랜섬웨어 및 협박, 은행 계정 정보를 겨냥한 공격, 암호화폐 채굴, 해킹된 접근권 및 자격 증명 판매 등의 다양한 활동이 관찰되었습니다. TAG는 멕시코의 사용자와 조직을 타겟으로 한 여러 금전적 동기를 가진 그룹을 계속해서 탐지하고 그들의 악의적인 활동을 방해하고 있습니다. 많은 범죄 조직들이 활동하는데, 이 중에서 가장 활발하게 활동하는 4개의 조직이 있었습니다. 이 4개 조직 중에서 3개 조직이 다른 범죄 조직에게 피해자 협박에 필요한 정보를 판매하는 일을 하고 있었습니다.
맨디언트는 피싱, 악성 광고, 감염된 USB 드라이브, 패스워드 스프레이와 같은 다양한 초기 접근 벡터를 사용하는 위협 행위자들의 증거를 관찰했습니다. 이러한 초기 접근은 이후 랜섬웨어 및 협박 작업, 암호화폐 채굴, 그리고 해킹된 접근권 및 자격 증명 판매로 이어졌습니다.
멕시코는 라틴 아메리카에서 활동하는 위협 행위자들과 글로벌 규모의 작전으로 인해 다른 나라들과 마찬가지로 사이버 범죄의 영향을 받고 있습니다. 관찰된 캠페인의 상당 부분은 은행 또는 기타 금융 계정의 자격 증명 도용에 초점을 맞추고 있으며, 여기에는 METAMORFO(일명 “Horabot”), BBtok, JanelaRAT와 같은 은행 트로이 목마의 사용이 포함됩니다. 라틴 아메리카 지하 범죄자들은 결제 카드 도용 및 사기와 같이 빠르고 쉽게 이익을 창출할 수 있는 단순한 작업에 초점을 맞추는 경향이 있습니다.
그림 2: 멕시코에서 가장 자주 관찰된 금전적 동기 행위자들, 2022년 3분기 ~ 2024년 2분기
멕시코에 대한 협박의 영향
일반적인 랜섬웨어 공격, 복잡한 기법과 전술이 동원되는 복잡한 랜섬웨어 공격, 협박을 포함한 협박 작전은 멕시코를 포함한 다양한 지역 및 산업의 조직에 계속해서 영향을 미치고 있습니다. 이는 심각한 재정적 손실과 비즈니스 중단을 초래할 수 있습니다. 랜섬웨어에 대한 방어 전략에 대한 자세한 지침은 구글의 블로그 게시물인 “랜섬웨어 보호 및 격리 전략: 인프라, 신원 및 엔드포인트 보호를 위한 실용적인 지침”과 관련 백서를 참조하기 바랍니다.
맨디언트는 랜섬웨어 또는 협박 사건 후 피해자가 몸값 요구를 거부했을 때 피해자 데이터를 공개하는 여러 데이터 유출 사이트(DLS)를 추적하고 있습니다. 2023년 1월부터 2024년 7월까지, 멕시코는 DLS 목록에 따르면 브라질에 이어 라틴 아메리카 및 카리브해 국가 중에서 랜섬웨어와 협박 작전으로 가장 큰 영향을 받은 국가로 나타났습니다. 그러나 DLS 목록에 의해 나타난 협박 활동의 전 세계적 분포는 여전히 미국, 캐나다, 서유럽에 크게 치우쳐 있습니다. 멕시코에서 가장 자주 영향을 받은 부문으로는 제조업, 기술, 금융 서비스, 정부가 있습니다. 멕시코 조직을 가장 자주 목록에 올린 DLS에는 LockBit, ALPHV, 8BASE가 포함됩니다.
그림 3: 멕시코 조직의 산업별 데이터 유출 목록
정부 공식 서비스를 사칭하여 악성 소프트웨어 배포
멕시코의 사용자들을 대상으로 한 악성 소프트웨어 배포 캠페인은 주로 세금 및 금융 관련 주제를 사용하여 수신자가 악성 링크나 파일을 열도록 유도합니다. 2023년 동안 그리고 2024년까지도 맨디언트는 UNC4984 활동을 관찰했으며, 이는 이메일 미끼를 사용하여 악성 브라우저 확장 프로그램이나 SIMPLELOADER 다운로더를 배포하는 다중 배포 벡터를 사용했습니다. 이 캠페인에서 사용된 악성 웹사이트는 종종 칠레나 멕시코 정부의 세금 또는 금융 관련 웹사이트로 가장했으며, 이러한 악성 브라우저 확장 프로그램은 특히 멕시코 은행 기관을 대상으로 했습니다.
그림 4: 멕시코 세무청(SAT)을 사칭하여 악성 브라우저 확장 프로그램 다운로드를 유도하는 UNC4984 웹사이트
또 다른 금전적 동기 행위자인 UNC5176은 이메일 및 악성 광고(“malvertising") 캠페인을 통해 브라질, 멕시코, 칠레, 스페인 등 여러 국가의 사용자를 공격합니다. 맨디언트는 다양한 산업의 라틴 아메리카 조직을 대상으로 한 여러 악성 이메일 캠페인을 관찰했으며, 2023년 12월에는 UNC5176이 멕시코의 국영 전력 회사인 Comisión Federal de Electricidad를 사칭하여 URSA(일명 Mispadu) 백도어를 전달하는 사례가 있었습니다. 2024년 4월, UNC5176의 피싱 캠페인은 악성 PDF 첨부 파일에 ZIP 아카이브로 연결되는 링크를 포함해 주로 라틴 아메리카의 조직을 대상으로 URSA를 배포했습니다. 일부 사건에서는 이 ZIP 아카이브가 S3 버킷, 애저, 깃허브, 드롭박스 같은 합법적인 파일 호스팅 서비스에서 호스팅 및 다운로드되었습니다.
그림 5: 피싱 이메일 스크린샷
결론
멕시코는 다양한 동기에 의해 움직이는 위협 행위자들에게 매력적인 타겟으로 남을 것입니다. 이미 중국, 북한, 러시아의 글로벌 사이버 스파이 행위자들과 다국적 사이버 범죄자들은 오랫동안 지속적인 위협을 가해 왔습니다. 멕시코 기업과 사용자를 효과적으로 보호하려면 멕시코를 노리는 위협을 이해하고, 사이버 보안에 대한 사전 예방적 접근 방식을 채택하는 것이 중요합니다.
이번 포스팅에 소개한 멕시코를 노리는 위협에 대한 분석과 연구가 멕시코의 수비자들에게 새로운 인사이트를 제공하여 집단 방어에 도움이 되기를 바랍니다. 구글은 전 세계 온라인 사용자들의 안전과 보안을 지원하기 위해 최선을 다하고 있으며, 악성 활동을 방해하여 사용자와 기업 고객을 보호하고 모두에게 안전한 인터넷 환경을 만들기 위한 노력을 계속할 것입니다.
