사이버스파이

3. 상세

사이버 스파이는 일반적으로 기밀 정보에 접근하거나 개인 컴퓨터 또는 전체 네트워크를 제어하여 전략적 이점을 얻는다.^[7] 심리적 전복, 정치적, 물리적 전복 활동과 파괴 행위를 수행하기도 한다.^[7] 최근에는 페이스북, 트위터와 같은 소셜 네트워크 서비스의 공개 활동을 분석하는 것도 포함된다.^[8]

이러한 작전은 일반적인 첩보 활동과 마찬가지로 피해 국가에서는 불법이지만, 공격 국가의 최고위 정부에서 전적으로 지원한다. 윤리적 상황은 관련 정부에 대한 관점을 포함하여 개인의 관점에 따라 달라진다.^[7]

3. 1. 윤리적 문제

4. 플랫폼 및 기능

사이버 수집 도구는 거의 모든 컴퓨터 및 스마트폰 운영 체제에 대해 정부와 민간 단체에 의해 개발되었다.^[9] 마이크로소프트, 애플, 리눅스 컴퓨터와 아이폰, 안드로이드, 블랙베리, 윈도우 폰용 도구가 존재하는 것으로 알려져 있다.^[9]

사이버 수집 시스템의 일반적인 기능은 다음과 같다.

• 데이터 스캔: 로컬 및 네트워크 저장소를 스캔하여 문서, 스프레드시트, CAD 파일, passwd 파일과 같은 시스템 파일 등 관심 있는 파일을 찾아 복사한다.
• 위치 캡처: GPS, 와이파이, 네트워크 정보 및 기타 부착된 센서를 사용하여 침투된 장치의 위치와 이동을 결정한다.
• 도청 장치: 장치 마이크를 활성화하여 오디오를 녹음할 수 있다. 로컬 스피커를 위한 오디오 스트림은 장치 수준에서 가로채 녹음할 수 있다.
• 숨겨진 사설 네트워크: 기업 네트워크 보안을 우회한다. 감시 대상 컴퓨터는 멀웨어 활동에 대해 면밀히 감시되는 합법적인 기업 네트워크에 연결될 수 있으며, 동시에 직원의 컴퓨터에서 기밀 정보를 유출하는 회사 네트워크 외부의 사설 와이파이 네트워크에 속해 있을 수 있다.
• 카메라: 장치 카메라를 활성화하여 은밀하게 이미지 또는 비디오를 캡처할 수 있다.
• 키로거 및 마우스 로거: 대상 사용자가 수행하는 각 키 입력, 마우스 움직임 및 클릭을 캡처할 수 있다. 화면 캡처와 결합하여 가상 화면 키보드를 사용하여 입력된 암호를 얻는 데 사용할 수 있다.
• 화면 캡처: 멀웨어 에이전트는 주기적인 화면 캡처 이미지를 캡처할 수 있다. 컴퓨터에 저장되지 않을 수 있는 민감한 정보(예: 온라인 뱅킹 잔액 및 암호화된 웹 메일)를 표시하는 것 외에도, 키 및 마우스 로거 데이터와 함께 사용하여 다른 인터넷 리소스에 대한 액세스 자격 증명을 결정하는 데 사용할 수 있다.
• 암호화: 수집된 데이터는 캡처 시 암호화되며 실시간으로 전송되거나 나중에 유출을 위해 저장될 수 있다. 사이버 수집 에이전트의 특정 암호화 및 다형성 기능을 사용하는 것이 일반적인 관행이다.
• 암호화 우회: 멀웨어 에이전트는 대상 사용자 또는 시스템 관리자의 사용자 계정의 모든 액세스 및 권한으로 대상 시스템에서 작동하기 때문에 암호화가 우회된다. 예를 들어, 마이크 및 오디오 출력 장치를 사용하여 오디오를 가로채면 멀웨어가 암호화된 스카이프 통화의 양쪽을 모두 캡처할 수 있다.^[14]
• 유출: 사이버 수집 에이전트는 일반적으로 포착된 데이터를 은밀한 방식으로 유출하며, 종종 높은 웹 트래픽을 기다리고 전송을 안전한 웹 브라우징으로 위장한다. USB 플래시 드라이브는 에어 갭 보호 시스템에서 정보를 유출하는 데 사용되었다. 유출 시스템에는 종종 데이터 수신자를 익명화하는 리버스 프록시 시스템의 사용이 포함된다.^[15]
• 복제: 에이전트는 다른 미디어 또는 시스템에 자체적으로 복제할 수 있다. 예를 들어, 에이전트는 쓰기 가능한 네트워크 공유의 파일을 감염시키거나 에어 갭으로 보호되거나 동일한 네트워크에 없는 컴퓨터를 감염시키기 위해 USB 드라이브에 자체적으로 설치할 수 있다.
• 파일 조작 및 파일 유지 관리: 멀웨어는 로그 파일에서 자체 흔적을 지우는 데 사용될 수 있다. 또한 모듈이나 업데이트는 물론 데이터 파일을 다운로드하고 설치할 수도 있다. 이 기능은 또한 정치인의 컴퓨터에 아동 포르노를 삽입하거나 전자 투표 집계 기계에서 투표를 조작하는 등 대상 시스템에 "증거"를 배치하는 데 사용할 수도 있다.
• 조합 규칙: 일부 에이전트는 매우 복잡하며 위의 기능을 결합하여 매우 표적화된 정보 수집 기능을 제공할 수 있다. 예를 들어 GPS 경계 상자 및 마이크 활동을 사용하여 스마트폰을 대상의 사무실 내에서만 대화를 가로채는 스마트 버그로 바꿀 수 있다.
• 손상된 휴대폰: 최신 휴대폰은 일반 목적의 컴퓨터와 점점 더 유사해지기 때문에, 이러한 휴대폰은 컴퓨터 시스템과 동일한 사이버 수집 공격에 취약하며, 매우 민감한 대화 및 위치 정보를 공격자에게 유출하기 쉽다.^[16]

4. 1. 주요 기능

• 데이터 스캔: 로컬 및 네트워크 저장소를 스캔하여 문서, 스프레드시트, CAD 파일, passwd 파일과 같은 시스템 파일 등 관심 있는 파일을 찾아 복사한다.
• 위치 캡처: GPS, 와이파이, 네트워크 정보 및 기타 부착된 센서를 사용하여 침투된 장치의 위치와 이동을 결정한다.
• 도청 장치: 장치 마이크를 활성화하여 오디오를 녹음할 수 있다. 로컬 스피커를 위한 오디오 스트림은 장치 수준에서 가로채 녹음할 수 있다.
• 숨겨진 사설 네트워크: 기업 네트워크 보안을 우회한다. 감시 대상 컴퓨터는 멀웨어 활동에 대해 면밀히 감시되는 합법적인 기업 네트워크에 연결될 수 있으며, 동시에 직원의 컴퓨터에서 기밀 정보를 유출하는 회사 네트워크 외부의 사설 와이파이 네트워크에 속해 있을 수 있다.
• 카메라: 장치 카메라를 활성화하여 은밀하게 이미지 또는 비디오를 캡처할 수 있다.
• 키로거 및 마우스 로거: 대상 사용자가 수행하는 각 키 입력, 마우스 움직임 및 클릭을 캡처할 수 있다. 화면 캡처와 결합하여 가상 화면 키보드를 사용하여 입력된 암호를 얻는 데 사용할 수 있다.
• 화면 캡처: 멀웨어 에이전트는 주기적인 화면 캡처 이미지를 캡처할 수 있다. 컴퓨터에 저장되지 않을 수 있는 민감한 정보(예: 온라인 뱅킹 잔액 및 암호화된 웹 메일)를 표시하는 것 외에도, 키 및 마우스 로거 데이터와 함께 사용하여 다른 인터넷 리소스에 대한 액세스 자격 증명을 결정하는 데 사용할 수 있다.
• 암호화: 수집된 데이터는 캡처 시 암호화되며 실시간으로 전송되거나 나중에 유출을 위해 저장될 수 있다. 사이버 수집 에이전트의 특정 암호화 및 다형성 기능을 사용하는 것이 일반적인 관행이다.
• 암호화 우회: 멀웨어 에이전트는 대상 사용자 또는 시스템 관리자의 사용자 계정의 모든 액세스 및 권한으로 대상 시스템에서 작동하기 때문에 암호화가 우회된다. 예를 들어, 마이크 및 오디오 출력 장치를 사용하여 오디오를 가로채면 멀웨어가 암호화된 스카이프 통화의 양쪽을 모두 캡처할 수 있다.^[14]
• 유출: 사이버 수집 에이전트는 일반적으로 포착된 데이터를 은밀한 방식으로 유출하며, 종종 높은 웹 트래픽을 기다리고 전송을 안전한 웹 브라우징으로 위장한다. USB 플래시 드라이브는 에어 갭 보호 시스템에서 정보를 유출하는 데 사용되었다. 유출 시스템에는 종종 데이터 수신자를 익명화하는 리버스 프록시 시스템의 사용이 포함된다.^[15]
• 복제: 에이전트는 다른 미디어 또는 시스템에 자체적으로 복제할 수 있다. 예를 들어, 에이전트는 쓰기 가능한 네트워크 공유의 파일을 감염시키거나 에어 갭으로 보호되거나 동일한 네트워크에 없는 컴퓨터를 감염시키기 위해 USB 드라이브에 자체적으로 설치할 수 있다.
• 파일 조작 및 파일 유지 관리: 멀웨어는 로그 파일에서 자체 흔적을 지우는 데 사용될 수 있다. 또한 모듈이나 업데이트는 물론 데이터 파일을 다운로드하고 설치할 수도 있다. 이 기능은 또한 정치인의 컴퓨터에 아동 포르노를 삽입하거나 전자 투표 집계 기계에서 투표를 조작하는 등 대상 시스템에 "증거"를 배치하는 데 사용할 수도 있다.
• 조합 규칙: 일부 에이전트는 매우 복잡하며 위의 기능을 결합하여 매우 표적화된 정보 수집 기능을 제공할 수 있다. 예를 들어 GPS 경계 상자 및 마이크 활동을 사용하여 스마트폰을 대상의 사무실 내에서만 대화를 가로채는 스마트 버그로 바꿀 수 있다.
• 손상된 휴대폰: 최신 휴대폰은 일반 목적의 컴퓨터와 점점 더 유사해지기 때문에, 이러한 휴대폰은 컴퓨터 시스템과 동일한 사이버 수집 공격에 취약하며, 매우 민감한 대화 및 위치 정보를 공격자에게 유출하기 쉽다.^[16]

5. 침투

대상 감염 또는 접근을 위한 몇 가지 일반적인 방법은 다음과 같다.

• '''인젝션 프록시'''는 대상 개인 또는 회사보다 상위에 위치한 시스템으로, 일반적으로 인터넷 서비스 제공업체에 위치하여 대상 시스템에 멀웨어를 주입한다. 예를 들어, 사용자가 다운로드하는 무해한 파일에 멀웨어 실행 파일을 즉시 주입하여 대상 시스템이 정부 요원에게 접근 가능하도록 할 수 있다.^[17]
• '''스피어 피싱''': 신중하게 제작된 이메일을 대상에게 보내 트로이 목마 문서 또는 멀웨어 소유자가 손상시키거나 제어하는 웹 서버에 호스팅된 드라이브 바이 공격을 통해 멀웨어를 설치하도록 유도한다.^[18]
• '''은밀 침투'''는 시스템을 감염시키는 데 사용될 수 있다. 즉, 스파이가 대상의 거주지나 사무실에 몰래 침입하여 대상 시스템에 멀웨어를 설치한다.^[19]
• '''업스트림 모니터''' 또는 '''스니퍼'''는 대상 시스템이 전송하는 데이터를 가로채어 볼 수 있는 장치이다. 일반적으로 이 장치는 인터넷 서비스 제공업체에 위치한다. 미국 FBI가 개발한 카니보어 시스템이 이러한 유형의 시스템의 유명한 예이다. 전화 감청과 동일한 논리에 기반한 이 시스템은 데이터 전송 시 암호화가 널리 사용되면서 현재는 사용이 제한적이다.
• '''무선 침투''' 시스템은 대상이 무선 기술을 사용할 때 대상 근처에서 사용될 수 있다. 일반적으로 WiFi 또는 3G 기지국을 사칭하여 대상 시스템을 캡처하고 인터넷으로 요청을 중계하는 랩톱 기반 시스템이다. 대상 시스템이 네트워크에 연결되면, 이 시스템은 대상 시스템을 침투하거나 모니터링하기 위해 ''인젝션 프록시'' 또는 ''업스트림 모니터''로 기능한다.
• 멀웨어 감염 프로그램이 미리 로드된 '''USB 키'''를 대상 사이트에 전달하거나 떨어뜨릴 수 있다.

6. 주요 사례

2009년 3월 29일, BBC News와 The Times 등 주요 언론은 103개국에서 기밀 문서를 훔친 '세계 최대 사이버 스파이 네트워크'가 발견되었다고 보도했다. 이 네트워크는 중국에 기반을 둔 것으로 추정되며, 캐나다 CTV는 전문가의 말을 인용해 '중국의 소행임을 보여주는 명백한 증거'라고 보도했다.

2009년 3월 30일, Belfast Telegraph는 중국 정부가 사이버 스파이 행위에 연루되었다는 의혹을 제기했다. 같은 날, GlobalSecurity.org는 뉴델리에서 스티브 허먼(Steve Herman)의 보도를 통해 추방된 티베트 정부가 중국의 사이버 스파이에 대한 우려를 표명했다고 전했다.

2009년 4월 1일, Times of India는 중국의 사이버 스파이 활동에 대한 기사를 게재했다. 같은 날, 토론토 스타(Toronto Star)는 중국 정부 관계자들이 사이버 스파이 활동을 부인하지 않으면서도 신중한 표현을 사용했다고 보도했다.

2008년 11월 20일, BBC News는 미국이 중국의 사이버 스파이 활동에 대해 경고했다고 보도했다. 2008년 2월 27일, 독일 법원은 사이버 스파이 활동을 제한하는 판결을 내렸다.

2007년 12월 7일, The Australian은 중국의 사이버 스파이 혐의에 대한 기사를 보도했다.

이 외에도 스턱스넷, 플레임, 두쿠, 분데스트로야너, 로크라, 오퍼레이션 하이 롤러 등이 주요 사이버 스파이 사례로 꼽힌다. F-Secure는 코지 베어를 최소 2008년부터 러시아 연방을 위해 활동하고 있다고 보고 있다.

7. 한국의 사이버 스파이 대응

7. 1. 더불어민주당의 사이버 안보 정책

8. 관련 항목

• 카오스 컴퓨터 클럽
• 미국 내 중국 정보 작전
• 컴퓨터 보안
• 컴퓨터 감시
• 사이버 정보 수집
• 사이버 보안 규제
• 대학 사이버 스파이
• 사이버 위협 인텔리전스
• 사이버 전쟁
• 직원 감시 소프트웨어
• 첩보
• 고스트넷
• 산업 스파이
• 사전 사이버 방어
• 스토커웨어
• 감시
• 타이탄 레인

참조

_[1] 웹사이트 Residential proxy network use cases https://www.geosurf.[...] GeoSurf 2017-09-28
_[2] 웹사이트 Cyber Espionage https://www.pcmag.co[...] PC Magazine
_[3] 웹사이트 Cyberspying http://www.techopedi[...] Techopedia
_[4] 뉴스 State-sponsored cyber espionage projects now prevalent, say experts https://www.theguard[...] The Guardian 2012-08-30
_[5] 뉴스 Elusive FinSpy Spyware Pops Up in 10 Countries http://bits.blogs.ny[...] New York Times 2012-08-13
_[6] 간행물 Has Stuxnet, Duqu and Flame Ignited a Cyber Arms Race? http://gov.aol.com/2[...] AOL Government 2012-07-02
_[7] 웹사이트 Cyber Espionage: A Growing Threat to Business http://www.pcworld.c[...] 2008-01-21
_[8] 웹사이트 Five Ways the Government Spies on You https://lockergnome.[...] 2019-02-09
_[9] 뉴스 Spyware Matching FinFisher Can Take Over IPhones https://www.bloomber[...] Bloomberg 2012-08-29
_[10] 웹사이트 FinFisher IT Intrusion http://www.finfisher[...] 2012-07-31
_[11] 웹사이트 Hacking Team, Remote Control System http://www.hackingte[...] 2013-01-21
_[12] 뉴스 Weaponized Bugs: Time For Digital Arms Control https://www.informat[...] Information Week 2012-10-09
_[13] 뉴스 Cyberwar’s Gray Market http://www.slate.com[...] Slate 2013-01-16
_[14] 간행물 The Data Encryption Problem http://www.comm.rtaf[...] Hacking Team
_[15] 뉴스 Flame stashes secrets in USB drives https://www.infoworl[...] InfoWorld 2012-06-13
_[16] Youtube how to spy on a cell phone without having access https://www.youtube.[...]
_[17] 간행물 (Un)lawful Interception http://www.swinog.ch[...] SwiNOG #25 2012-11-07
_[18] 뉴스 Operation Red October Attackers Wielded Spear Phishing https://www.informat[...] Information Week 2013-01-16
_[19] 문서 Surreptitious Entries http://vault.fbi.gov[...] Federal Bureau of Investigation
_[20] 뉴스 "Flame" spyware infiltrating Iranian computers http://www.cnn.com/2[...] CNN - Wired 2012-05-30
_[21] 뉴스 Cybercriminelen doen poging tot spionage bij DSM http://www.elsevier.[...] Elsevier 2012-07-09
_[22] 뉴스 Microsoft Certificate Was Used to Sign "Flame" Malware https://www.security[...] securityweek.com 2012-06-04
_[23] 뉴스 Flame Malware Uses Stolen Microsoft Digital Signature https://www.nbcnews.[...] NBC News 2012-06-04
_[24] 문서 "Red October" Diplomatic Cyber Attacks Investigation https://www.secureli[...] Securelist 2013-01-14
_[25] 간행물 Kaspersky Lab Identifies Operation Red October http://newsroom.kasp[...] Kaspersky Lab Press Release 2013-01-14
_[26] 간행물 Dissecting Operation High Roller http://www.mcafee.co[...] McAfee Labs
_[27] 웹사이트 the Dukes, timeline https://campaigns.f-[...] 2015-10-13
_[28] 웹사이트 The Dukes Whitepaper https://www.f-secure[...]
_[29] 웹사이트 F-Secure Press Room - Global https://press.f-secu[...]
_[30] 웹사이트 Residential proxy network use cases https://www.geosurf.[...] GeoSurf 2017-09-28
_[31] 웹사이트 Cyber Espionage https://web.archive.[...] PC Magazine 2017-08-26
_[32] 웹사이트 Cyberspying http://www.techopedi[...] Techopedia 2014-10-22
_[33] 웹사이트 Cyber Espionage: A Growing Threat to Business http://www.pcworld.c[...] 2008-01-21
_[34] 웹사이트 Five Ways the Government Spies on You https://lockergnome.[...] 2019-02-09
_[35] 웹사이트 Cyber Espionage: A Growing Threat to Business http://www.pcworld.c[...] 2008-01-21
_[36] 웹사이트 the Dukes, timeline https://campaigns.f-[...] 2015-10-13
_[37] 웹사이트 The Dukes Whitepaper https://www.f-secure[...] 2020-11-27
_[38] 웹사이트 F-Secure Press Room - Global https://press.f-secu[...] 2020-11-27