후티 반군, 미사일 이어 사이버공격 감행

스파이웨어 자체 개발·운영, 군사 조직 위치 추적 및 정보 탈취 목적

(지디넷코리아=남혁우 기자)후티 반군이 미사일 등 물리적인 테러와 함께 사이버공격을 위해 전문적인 해킹조직을 운영 중인 것으로 나타났다.

11일 더레지스터 등 외신에 따르면 보안전문기업 룩아웃은 후티 반군이 가드주(GuardZoo)라는 스파이웨어를 개발해 운영 중이라고 밝혔다.

후티 반군에서 사용 중인 가드주는 분석결과 안드로이드 기반 단말기를 전문적으로 공격하는 덴드로이드라는 원격접속도구(RAT)를 기반으로 개발됐다. 최신 보안전문기업에서 개발하는 스파이웨어에 비해 단순한 구조로 개발 비용도 낮을 것이란 분석이다.

총기로 무장한 후티 반군 대원 © 로이터=뉴스1 © News1 김성식 기자

기존 덴드로이드 RAT 코드 대신 자체 C2 백엔드를 구축했으며, .dex 파일을 다운로드 받아 은밀하게 업데이트할 수 있는 기능도 적용됐다.

해당 스파이웨어는 군사적인 앱으로 위장해 와츠앱 등 메신저나 웹브라우저 다운로드를 통해 확산된 것으로 나타났다.

주로 통신사 신호 없이 현재 위치를 파악할 수 있도록 지원하는 위치 추적 앱을 가장했으며, 가드주가 수집한 데이터도 대부분 지리적 위치와 관련됐다.

이러한 내용을 토대로 룩아웃은 후티 반군이 상대 군대의 움직임을 확인하기 위한 정보를 수집하기 위해 해당 스파이웨어를 사용한 것으로 추측하고 있다.

실제로 조사 결과에 따르면 예멘을 비롯해 사우디아라비아, 이집트, 오만의 군인이 사용하는 하드웨어에서도 가드주가 확인됐다.

알브레히트 연구원은 “가드주는 전문보안기업의 최신 스파이웨어에 비해 성능은 부족하지만 충분히 사진, 문서를 비롯한 주요데이터를 탈취할 수 있다”며 “스파이웨어는 자체 성능보다 결국 누가 어떻게 배포하고 사용하는지가 중요하다”고 설명했다.

이어서 “이러한 스파이웨어는 전 세계 수많은 조직에서 배포하며 급증하고 있는 추세”라며 “하나의 악성코드는 큰 위협이 아닐 수 있지만 수많은 사이버위협과 연계가 될 수 있는 만큼 개인과 기업 모두 주의를 기울일 필요가 있다”고 경고했다.

남혁우 기자(firstblood@zdnet.co.kr)