편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

레코디드 퓨처의 인식트 그룹(® )은 이란의 사이버 프로그램과 관련된 조직에 대한 지속적인 연구를 진행하고 있습니다. 이 보고서는 이란의 공격적인 사이버 프로그램에 관여하는 주요 군사 및 정보 기관에 대한 더 큰 통찰력을 제공합니다. 공격적인 사이버 역량에는 국내 공격도 포함되지만, 국제적 임무를 선언한 조직을 대상으로 조사했습니다. 일부 조직의 비밀스러운 특성과 검증 가능한 정보의 부족으로 인해 업계 분석 표준을 준수하기 위해 경쟁 가설을 통합했습니다.

이 연구를 위해 우리는 바시즈를 포함한 이슬람혁명수비대(IRGC)와 정보보안부(MOIS), 국방부 및 군 병참부(MODAFL)를 조사했습니다. 이 보고서에서는 일부 지능형 지속 위협(APT) 그룹과 특정 인텔리전스 조직 간의 연관성을 제시하고 있지만, 각 그룹에 대한 정보 격차로 인해 특정 기관을 단정적으로 지목할 수는 없습니다.

연구의 출처는 주로 Recorded Future® 플랫폼에서 수집한 정보, 시만텍, 파이어아이, 클리어스카이, 팔로알토 등이 발표한 업계 연구, 오픈 소스 뉴스 보도 등을 활용했습니다.

Executive Summary

이란의 사이버 프로그램은 여전히 테헤란의 비대칭 역량을 주도하고 있지만, 이란의 정보 장치는 다양한 기능 장애와 불안정해 보이는 특성으로 얼룩져 있습니다. 특히 다양한 정보 기관의 정치화와 이에 따른 국내 불화로 인해 이슬람 공화국의 여러 안보 위기에서 장교급 간부들이 양극화된 것으로 알려졌습니다. 이러한 위기는 공개적으로 드러나면서 내부자 위협을 유발하는 촉매제 역할을 하고, 정보원의 사기를 떨어뜨리고, 유출 사고를 증가시켰습니다. 정보 그룹 간의 경쟁은 기관 간의 직접적인 방해 행위로 이어졌다는 주장도 있습니다.

정치적 내분으로 인해 특정 조직은 공격적인 해킹 전술, 기술 및 절차(TTP)를 활용하여 피해자에 대한 침입 및 접근을 강화하는 등 보안 권한이 크게 확장되었습니다. 그 중 첫 번째는 이슬람혁명수비대-정보조직(IRGC-IO)입니다. 이 단체의 임무는 지난 10년 동안 크게 성장하여 이슬람 공화국의 헌법상 정보 기관인 정보보안부(MOIS)의 정보 평가와 조언에 정면으로 위배되는 활동을 할 수 있을 정도로 커졌습니다.

이 보고서는 Recorded Future의 이란 사이버 프로그램에 대한 세 번째 보고서입니다. 2019년 1월, 우리는 이란에서 가장 유명한 해커 포럼인아시야네( Ashiyane)에 대해 보도했으며, 2019년 3월에는 이란의 사이버 방어 구조와 관련된 조직들을 다룬 보고서를 발표했습니다.

주요 판단

• 이란의 내부 및 외부 작전을 수행하는 기관 간에는 차이가 있지만, 각 정보 기관의 정의되지 않은(때로는 중복되는) 보안 임무는 사이버 관련 귀속을 수행하려는 노력을 복잡하게 만들 가능성이 있다고 평가합니다.
• 정보 기관의 변동성과 책임의 중첩으로 인해 이란 및 역외 행위자들의 허위 정보 가능성이 여전히 높은 것으로 평가합니다.
• 이란 정보 기관의 복잡한 특성, 정보 유출의 역사, 정치화 등으로 인해 이란의 안보 영역은 여전히 불안정할 가능성이 높다고 평가합니다.
• 공격적이고 이데올로기적 동기를 가진 사이버 공격은 IRGC, 특히 해외 작전 사령부인 쿠드스군의 특징을 잘 드러냅니다. 이란의 비대칭 대응 능력의 일환으로 조직화된 파괴 작전을 수행했을 가능성이 높다고 평가합니다.
• 이맘 호세인 대학과 같은 고등 교육 기관이 이란의 사이버 프로그램을 계속 지원하고 정권과 연계된 운영자들의 역량을 강화할 가능성이 높다고 평가합니다.
• 이란에 기반을 둔 전문 계약 그룹이 다양한 정부 및 군 기관에 서비스를 제공할 가능성이 높다고 평가합니다. 계약 그룹은 또한 위협과 기회의 대상에 따라 기관별 업무에 맞게 조정될 가능성이 높습니다.

배경

이란의 정보기관과 군이 주도하는 사이버 작전은 정보기관의 복잡한 특성, 중복되는 임무, 최고 지도자 알리 하메네이의 통치와 이해관계, 이슬람혁명수비대(IRGC) 같은 군사 조직의 영향력, 내부 정치 등 다양한 요인에 의해 영향을 받습니다.

이란 정보 기관

이란의 파르스 통신에 따르면, 이란의 정보 기관은 1979년 이슬람 혁명 이후 최소 16개의 독립된 기관으로 구성되어 정보 활동을 수행해 왔습니다. 파르스 통신은 또한 정보 조정 위원회(Shorai-e Hamohangi Etelaat)의 역할을 강조했습니다. 이 위원회는 국내 및 국제 안보 위협에 대응하기 위해 모든 정보 기관을 통합하고 협력을 조정하는 주요 기구로 알려져 있습니다.

이란의 정보 기관은 IRGC 조직의 일부이거나 정보보안부(MOIS)와 같이 이란의 다양한 선출 정부 구성 요소에 속해 있습니다. 그러나 이들 단체는 모두 최고지도자 하메네이의 칙령에 종속되어 있으며, 이슬람혁명수비대-정보조직(IRGC-IO)과 같은 일부 단체는 다른 단체보다 하메네이의 이익을 더 직접적으로 따르는 것으로 평가됩니다. 현재 마흐무드 알라비가 이끌고 있는 MOIS는 선출된 정부의 우선순위에 따라 공식적으로 MOIS의 정보 임무를 이끌고 있습니다.

이란 정보기관의 특징에는 업무 중복, 목표 설정 요구사항, 및 운영 책임이 포함되며, 이러한 요소들은 일부 경우 정보 및 군사 자원의 경쟁이나 통합으로 이어질 수 있습니다. 예를 들어, 아래에서 논의될 것처럼, 국내 반란 진압은 MOIS에 의해 수행된다고 보고되지만, IRGC-IO뿐만 아니라 이란의 사이버 경찰(FATA)과 같은 다른 기관들도 이에 참여하고 있습니다.

국제적으로, MOIS와 IRGC는 모두 독립적인 정보 작전을 주도하는 것으로 보고되었으며, 국가 안보 위협에 대한 작전에서 협력하기도 합니다. 이러한 중복은 특정 경우에 동적 및 사이버 공격의 출처 규명 노력을 복잡하게 만듭니다. 2019년 2월 미국 법무부(U.S. DOJ)가 이란의 사이버 작전 요원들을 기소한 기소장에 언급된 다른 정보 작전들은 기관 간 자원이 공유되고 있으며, 요원들이 이란 보안 기관과 연관된 여러 조직에 서비스를 제공할 가능성이 높다는 것을 시사합니다.

중복되는 사이버 미션

사이버 캠페인과 사건의 배후는 많은 경우 이슬람 공화국의 두 개 이상의 정보 조직이 그럴듯한 전략적, 전술적 이해관계를 가지고 있음을 드러냅니다. 국가정보원과 IRGC는 정보 및 보안 임무가 중복되는 가장 관련성이 높은 기관으로 남아 있습니다. APT 그룹은 또한 두 조직의 작업 요구 사항과 아래에서 강조하는 것처럼 특정 하위 그룹에 대응합니다. 기술적인 어트리뷰션은 레코디드 퓨처와 광범위한 업계에서 수행하지만, 인력과 네트워크 소속 등 APT 그룹의 구성에 대한 정보에 접근할 수 없다면 특정 조직에 대한 APT 어트리뷰션은 더욱 복잡해집니다. 어트리뷰션은 보다 정확한 어트리뷰션을 위해 여러 기술적, 조직적, 개인 행동 데이터 세트를 통합해야 합니다.

다른 국가들과 마찬가지로, 전략적 및 전술적 정보는 이란의 기관들에게 핵심적입니다. 정치적, 군사적, 경제적 정보는 서구 및 중동 국가의 정부 관계자들을 대상으로 한 국제 사이버 스파이 활동의 주요 동인입니다. 이러한 작전은 역사적으로 테헤란과 국제 사회 간의 긴장이 고조된 시기에 발생해 왔습니다. 이 국제적 활동 지역 내에서 다양한 위협 행위자 그룹들은 MOIS와 IRGC의 요구사항뿐만 아니라, 국방부 및 무장력 물자청(MODAFL)과 관련된 연구 개발 기관을 포함한 다양한 정부 관계 기관 및 학술 기관의 요구사항도 지속적으로 지원해 왔습니다.

공개된 보고서에 따르면, 알려진 이란의 위협 행위자들이 중동 국가들을 대상으로 한 작전을 주도해 왔으며, 때로는 특정 목표를 대상으로 한 광범위한 컴퓨터 네트워크 공격 작전의 일환으로 조정 및 협력을 진행해 왔습니다. 최근에는 바레인에 대한 ZeroCleare 파괴적 악성 소프트웨어의 사용이 포함되었습니다. 그러나 파괴적인 공격은 적어도 2012년 8월부터 이란의 비대칭적 대응 및 공격 능력의 일부로 포함되어 왔습니다. 2018년 12월 중순, 이탈리아의 석유화학 대기업 SAIPEM이 이란 정부와 연관된 것으로 추정되는 공격자들에 의해 Shamoon(2) (Disttrack) 악성 소프트웨어의 업데이트된 변종으로 공격을 받았습니다. 2018년 12월 공격은 그 직후에 예멘 사이버 군대(Yemen Cyber Army)를 자칭하는 단체들이 수행한 해커 활동가 스타일의 웹사이트 훼손과 소셜 미디어 기반 정보 작전으로 이어졌습니다. 이 단체들은 후티 운동(안사르 알라)의 이익을 지지하고 이에 동조하는 집단으로 알려져 있습니다. 이 협력 노력은 다양한 위협 행위자 그룹에 의해 수행될 수 있는 공격적 노력에서 임무 조정 및 자원 공유의 잠재력을 강조합니다.

예멘 사이버 군대의 소셜 미디어 작전 중 일부에 대한 미래 쿼리를 기록했습니다.

예멘 사이버 군대의 소셜 미디어 작전에 사용된 이미지에는 사이펨을 비롯한 여러 기업이 등장합니다.

국내에서는 정보 및 보안 기관(FATA 포함)이 반정부 정치 세력, 민병대, 극단주의 단체 등 다양한 반정부 운동과 맞서 싸우고 있습니다. 국가의 보안 기관들이 종교적 소수 집단뿐만 아니라 쿠르드족, 아와지 아랍족, 발루치족 등 민족 분리주의자들에 대해 물리적 및 사이버 작전을 수행한 것으로 기록되었습니다. 예를 들어, Check Point가 'Domestic Kitten'으로 지칭한 위협 행위자 그룹은 이란 내외의 반정부 인사, 극단주의 단체, 소수 민족을 대상으로 한 광범위한 사이버 감시 캠페인을 진행한 것으로 보고되었습니다. 이 단체는 주로 페르시아어, 아랍어, 터키어, 쿠르드어를 사용하는 대상들을 대상으로 대부분의 활동을 벌였으며, 사회공학 기술을 활용해 피해자들이 악성 모바일 애플리케이션을 다운로드하도록 속이는 방식으로 운영된 것으로 보고되었습니다.

FATA의 경우에도, 그 법적 권한인 사이버 범죄 활동 대응을 넘어 이란의 블로거인 사타르 베헤슈티 등을 표적으로 삼아 활동해 왔습니다. 우리는 이란의 사이버 범죄 관련 사항의 운영 범위 내에서, 특히 이란의 컴퓨터 범죄법에 따라, 사이버 범죄자의 정의가 실질적으로 반정부 자료를 유포하거나 온라인 시위에 참여한 정치 활동가를 포함하는 것으로 확대 적용되고 있음을 확인합니다. 산업 연구는 컴퓨터 범죄법 하에서 정치 활동가들이 체포되고 구금된 다양한 사례를 상세히 기록했으며, 해당 법령에 내재된 유연성이 법 집행 기관이 이를 임의로 적용할 수 있도록 허용한다는 점을 지적했습니다. 따라서, FATA의 활동은 2009년 그린 운동 시위 이후 정부에 의해 진행된 블로거와 활동가들에 대한 탄압과 밀접하게 연관되어 있을 가능성이 높지만, 국내 보안에 한정될 것으로 예상됩니다.

이란의 반체제 인사 탄압 작전은 국가 경계를 넘어 진행되고 있습니다. 이란의 사이버 그룹인 APT35(Charming Kitten)는 주로 이란 혁명수비대(IRGC)를 위해 활동해 왔으며, Flying Kitten 역시 유럽과 북미 지역에서 이란 디아스포라를 표적으로 삼는 경향을 보여 왔습니다.

소프트웨어를 포함한 군사 관련 기술 또한 자급자족을 공언하며 방위 산업을 구축하고 수출하기 위해 노력하는 체제에서 최우선 순위로 남아 있습니다. 이 보고서의 뒷부분에서 자세히 설명하겠지만, MODAFL과 같은 단체는 군용 무기 기술에 중점을 둔 컴퓨터 네트워크 운영의 주요 이해관계자이자 수혜자로 평가됩니다.

이란 정보 유출

정보 유출은 이란의 정보 기관, 특히 MOIS에 지속적으로 영향을 미쳐왔습니다. 해당 조직은 역사적으로 여러 차례의 중대한 정보 유출 사건을 겪어왔으며, 이로 인해 조직의 고위 간부들과 국제적 활동이 공개될 위기에 처했습니다. 주요 사례로는"체인 살인 사건","이란 케이블"이 있으며, 상대적으로 덜 알려진 사례로는 반정부 활동과 연관된 다양한 확인되지 않은 사이버 유출 사건들이 있습니다. 정치적 불만이 정보 기관을 대상으로 한 대규모 정보 유출을 촉발시켰습니다. 이 문서들은 동료 정보 요원들과 이란 사회에 대한 인권 침해, 부패 및 은폐 행위를 묘사하고 있으며, 최근 공개된 '이란 케이블스'가 지적하듯, MOIS(이란 정보부)가 IRGC-Quds Force(이란 혁명수비대 쿠드스 부대)의 정보 및 군사적 우위와 이라크에서의 활동을 경멸하는 태도를 드러내고 있습니다.

반정부 사이버 작전은 2009년 그린 운동 봉기 이후 주로 발생했으며, Anonymous Iran과 같은 자칭 반정부 익명 단체들에 의해 수행되었습니다. 이 단체들은 테헤란의 민간인과 국제 목표물을 대상으로 한 사이버 활동을 폭로하는 것을 목표로 했으며, 이로 인해allegedly 기밀 문서, 사이버 프로젝트, 이란 정부 내 부패, 중동 국가들을 대상으로 한 국제적 작전 등이 공개되었습니다. 최근 반정부 사이버 공격의 급증은 2017년 말부터 본 보고서 작성 시점까지 지속되었으며, Tapandegan, Lab Dookhtegan, Aahack Security Team 등 다양한 그룹이 정부 및 군사 자산을 대상으로 한 침투 공격을 주도한 것으로 보고되었습니다.

허위 정보로 의심되는 활동

이란의 허위 정보에 대한 조사에서 그럴듯한 허위 정보 사례가 계속 확인되고 있으며, 따라서 이 글을 쓰는 시점에서는 이란 행위자들의 허위 정보 가능성이 향후에도 계속 높아질 것으로 평가합니다. 이는 유출된 데이터와 지역 외 행위자들이 서방 사이버 보안 조직을 상대로 자신들의 이익을 위해 유출된 데이터를 조작하거나 데이터 분류 및 속성을 저하시킬 가능성으로 인해 더욱 증폭되고 있습니다. 예를 들어, 후자의 경우 지역 외 위협 행위자의 자체 작업을 난독화하기 위해 기존의 C2를 사용하는 것이 포함됩니다.

2017년 말부터 2019년 내내 자칭 이란 반체제 단체들은 이란과 중동 지역 전역에서 이란 정보기관과 군사 기관의 작전을 폭로하기 위해 포괄적인 노력을 기울여 왔습니다. 이러한 노력에는 랩 두크테간, '그린 리커'(Afshagaran-e Sabz), '블랙박스'(Resaneh Khabari Jabeh Siah), '숨겨진 현실'(Vaghiyate Penhaan) 같은 그룹이 포함되었습니다. 후자는 계약자로 추정되는 라나 연구소의 활동에 대해 보고했으며, 이에 대해서는 아래에서 자세히 설명합니다. 이 글을 쓰는 시점에서 인식트 그룹은 이 단체가 이슬람 공화국에 반대한다고 주장하는 모든 정보와 사명을 종합적으로 확인하지 못했습니다. 이 단체들은 테헤란에 대항하여 행동한다고 주장하며 이란 정보기관뿐만 아니라 APT 그룹에 대한 광범위한 정보를 유포하고 있지만, 하나 이상의 단체가 허위 정보를 실행할 목적으로 설립되었을 가능성도 있다고 평가합니다.

카스퍼스키 랩스는 2019년 8월과 12월에 러시아 위협 행위자와 라나 연구소 유출 사건을 연결할 수 있는 두 건의 보고서를 발표했습니다. 유출된 자료, 인프라, 및 전용 웹사이트에 대한 분석을 바탕으로, 보고서는 러시아 연방 무장력 총참모부 주간부(GRU)와 연관된 위협 행위자들이 해당 링크의 배후에 있다고 평가했습니다. 그러나 이 글을 작성하는 시점에는 Recorded Future는 이 평가의 정확성을 확인할 수 없습니다.

또 다른 사례에서 Recorded Future는 이란의 사이버 프로그램 고위 간부인 모하메드 후세인 타지크의 사망 의혹을 보도했으며, 이는 이란의 해커 계층 구조와 IRGC-IO의 반체제 인사 루홀라 자ムの 체포와 관련된 허위 정보 확산 노력에 대한 보도에서 다루어졌습니다. 현재까지, 이란의 사이버 프로그램에 대한 정보가 Zam과 같은 반체제 인사들에게 전달된 내용은 확인되지 않았습니다. 잠은 반복적으로 인격 모독 공격의 대상이 되어왔으며, 이란 정보기관에 의해 그들의 정보 작전의 피해자로 공개되었습니다. 우리는 이러한 활동이 Zam을 훼손하기 위해 수행되었을 것으로 추정하며, 그의 정보원과 방법에 대한 신뢰도를 평가합니다. 잠의 보도에 따르면, 타지크는 이란이 미국, 사우디아라비아, 터키를 대상으로 한 국제 사이버 공격에 관여했으며, 이 공격이 발원지로 지목된 운영 시설인 카이바르 센터와도 연결되어 있다고 밝혔습니다. 이 시설은 Zam의 진술에 따르면, 이란의 주요 정보 기관 소속 요원들이 현지에 상주하며 활동하는 융합 센터와 유사하게 운영되고 있습니다.

이란에서 발원하는 허위정보 확산 활동은 여전히 신뢰할 수 있는 위협으로 남아 있지만, 우리는 지역 외 행위자들이 이란의 APT 그룹을 사칭하여 탐지 및 귀속 노력을 방해하려는 시도를 할 수 있다고 평가합니다. 우리는 이 활동이 이란의 위협 행위자와 연관된 서버 인프라(C2)를 사용하는 것을 포함할 수 있다고 평가합니다. 예를 들어 APT33, APT35, MuddyWater와 같은 그룹이 해당됩니다. 우리는 2019년 12월 Operation Gamework 보고서에서 이 상황을 가능한 시나리오로 강조했으며, 해당 보고서에서는 러시아 APT 그룹 BlueAlpha와의 C2 및 악성 소프트웨어 중복 현상이 확인되었습니다.

정보 기관의 정치화

이란 정보 기관의 정보 유출의 역사와 정치화 및 파벌주의가 심화된 시기로 인해 이란의 안보 영역은 여전히 불안정할 것으로 평가합니다.

페르시아어 오픈소스 보고서는 이란의 MOIS(정보부)가 분파주의가 심화되면서 기관의 업무 범위 확보 능력에 부정적인 영향을 미쳤을 가능성이 있음을 강조하고 있습니다. 공개 보고서는 내부 정치 갈등이 정보 기관의 여러 계층에 영향을 미쳤으며, IRGC-IO의 수장 호세인 타에브와 전 MOIS 지도자 헤이다르 모슬레히, 전 대통령 마흐무드 아흐마디네자드(2005-2013)와 사데크 라리자니를 포함한 여러 정치인들 사이의 대립을 드러내고 있습니다. IRGC-IO 지도자가 IRGC에 대한 부패 사례를 구체적으로 드러내는 증거를 보유한 이란 정치 단체들에 대한 정보 작전을 지지한 것으로 전해졌습니다.

전 대통령 모하마드 카타미(1997-2005) 재임 기간 동안 MOIS는 강경파 간부와 지지자들을 대대적으로 숙청했다는 주장이 제기되었습니다. 이로 인해 해당 기관은 공격적인 국제 작전을 포기하고 온건화되는 방향으로 전환되었습니다.¹ 1997년부터 1998년까지 최고 지도자 하메네이는 IRGC의 정보 임무를 부서급으로 승격시켰다고 보고되었습니다. 그 시점부터 IRGC의 정보국은 MOIS의 업무와 유사한 임무를 수행하기 시작했으며, 이는 국가 안보 위협 대응을 위한 중복된 노력에 기여했다고 우리는 판단합니다.

아흐마디네자드 전 대통령 재임 기간 중, 2009년 시위 이후 MOIS는 추가적인 불안정을 겪었으며, IRGC 주도 하에 MOIS 간부들에 대한 숙청이 진행되었습니다. 공개 보고서는 또한 아흐마디네자드가 MOIS를 활용해 정치적 경쟁자들에 대한 kompromat(“유해 자료”)를 수집하려 시도했다고 지적하고 있습니다. 강경파의 카타미와 그의 전임자 라프산자니가 주도한 이란 개혁주의를 무력화하려는 의도는, 이란의 강경파와 IRGC 지지 단체인 안사르 헤즈볼라의 주요 인사들이 작성한 초기 선언문 《새로운 시대와 우리의 책임》(dowlat-e jadid va masooliat-haye ma)에 정확히 반영되었습니다. 선언문은 경고장을 발령하고 아흐마디네자드 정부의 첫 번째 정부가 MOIS의 카타미 시대 변화로의 지속적인 흐름을 막을 것을 요구했으며, 아마도 이데올로기적으로 동기부여된 국제적 작전을 수행할 가능성이 낮은 이란 정보 기관으로의 전환을 막을 것을 요구했습니다.

MOIS는 현 대통령 하산 로하니(2013년~현재) 재임 기간 동안 유사한 정치화 사례를 경험했습니다. 이란의 정보부 장관 마흐무드 알라비가 정보 및 보안 역량 부족으로 비판을 받았으며, 이후 강경파 세력에 의해 주도된 정치적 동기의 공격 대상이 되었습니다. 카타미 대통령 시절과 마찬가지로, 로하니는 개혁 지향적인 정책을 내걸고 임기를 시작했으며, 이에는 MOIS의 강경 노선을 완화하고 투명성을 강화하는 내용이 포함되었습니다. BBC의 보도에 따르면, 로하니는 반부패 사건에서 해당 기관을 활용해 왔으며, 이는 해당 기관을 이란 경제의 주요 분야를 장악하려는 IRGC와 그 지지자들을 축출하기 위한 정치적 권력 투쟁에 더욱 깊이 연루되게 만들었습니다.

BBC 보도에 따르면, MOIS는 적어도 세 차례에 걸쳐 IRGC-IO의 병행 활동과 영향력에 의해 전략적으로 밀려났으며, 그 결정이 거부되었습니다. 이 조치에는 개혁派 텔레그램 채널의 관리자들을 체포한 것, 로하니의 포괄적 공동 행동 계획(JCPOA) 협상팀 구성원들이 간첩 혐의로 체포된 것, 그리고 환경 활동가들이 체포된 것이 포함된 것으로 전해졌습니다. 로하니 정부 하에서 MOIS는 국가 안보 분야, 특히 대간첩 및 국내 반란 진압 분야에서 IRGC-IO에게 권한을 계속 잃어갔다고 보고되고 있습니다.

이란 사이버 간부에게 미치는 영향

이란 정보 기관의 파벌주의가 강화되면서 이란의 사이버 부대에도 영향을 미쳤을 가능성이 높습니다. 인식트 그룹은 정치적 내분의 직접적인 결과가 현재까지 공개적으로 어느 한 쪽(MOIS 또는 IRGC)을 지지하는 이란의 사이버 운영자에게 흘러들어갔을 가능성이 높다고 평가합니다.

예를 들어, 소셜 미디어의 대화를 통해 이란에 기반을 둔 사이버 공격자 아르민 라드('아윱 티티즈'라고도 함)와 라드와 그의 지지층을 자주 비판해온 모하마드 조잔디 사이의 의견 불일치와 조롱이 드러났습니다^.2 또한, 미국에 거주하고 있는 것으로 알려진 조잔디에 따르면, 이 글을 쓰는 현재 랩 두크테간과 관련된 해킹 및 유출 작업은 국가정보원과 IRGC 간의 경쟁에서 비롯된 것으로 추정되며, 후자는 국가정보원의 명성과 위상을 손상시키기 위해 의도적으로 국가정보원에 대한 정보를 유출한 것으로 알려졌습니다.

조잔디의 진술을 확인할 수는 없지만, 랩 두크테간이 묘사한 MOIS의 표적 공격에는 야샤르 샤힌자데와 같은 APT34의 조직원들이 포함되어 있습니다. 샤힌자데의 소셜 미디어 대화를 관찰한 결과, 그는 라드 같은 친 IRGC 정권 해커의 편에 섰으며 특히 정보통신기술부 장관인 모하마드 자바드 자로미와 같은 선출직 정부 인사들을 도우려고 시도한 것으로 나타났습니다. 이러한 지원은 주로 취약한 정부 데이터베이스를 탐지하는 데 중점을 두었습니다.

전망

이란의 사이버 공격자들은 이란의 여러 정보 센터를 대상으로 활동하는 공격자들의 수가 증가하고 있기 때문에 어트리뷰션 시도를 계속 회피할 수 있는 독보적인 위치에 있습니다. IRGC-IO, 쿠드스군, MODAFL, MOIS 등 이란 사이버 공격의 최전선에 있는 조직들은 국제적인 공격을 주도할 수 있는 역량을 갖추고 있습니다. 공개된 정보에 따르면 이러한 단체는 정보 목표를 추구하기 위해 계약자 커뮤니티를 이용하고 있으며, 이는 앞으로도 이란 사이버 생태계의 중요한 특징으로 남을 것으로 평가합니다.

더 숙련된 사이버 간부, 더 효과적인 도구, 허위 정보 생산 및 배포 능력을 포함한 더 강력한 작전 보안 조치로 이란의 사이버 작전은 중동 국가와 국제 사회 전체를 계속해서 빠르게 표적으로 삼을 가능성이 높습니다. 이란의 보안 서비스는 또한 이란의 디아스포라와 소수 민족 공동체를 계속 표적으로 삼을 가능성이 높으며, 이 두 집단은 테헤란의 국내 안정에 위협이 될 수 있습니다.

완화 조치

• 관심 있는 이해관계자는 레드햇 분석 및 속임수 탐지 등 구조화된 분석 기법을 활용하여 보다 정교한 어트리뷰션 시도를 지원하는 동시에 사이버 공격자의 허위 정보 시도를 완화해야 합니다.
• 이란의 정치 동향을 파악하여 정보 환경에 영향을 미치는 활동(부패 스캔들, 권력 투쟁, 언론인 및 활동가 체포, 정보 단체의 지도자 교체, 외국 기술 사용, 소셜 미디어 사용 금지 등)을 관찰하세요.
• 페르시아어 반체제 보도는 소수 집단에 대한 단속, 시위대, 외국인 및 이중국적자 체포와 관련된 활동을 정기적으로 다루고 있습니다. 이러한 출처는 일반적으로 체포에 관련된 정보 및 군사 조직과 그들이 주장하는 동기에 대한 통찰력도 제공합니다.
• 이란의 사이버 운영자는 인스타그램과 텔레그램에서 비교적 공개적으로 활동합니다. 이러한 공개 자료는 조직의 발전, 교육, 정치적 통찰력 및 운영 네트워크에 대한 통찰력을 제공할 수 있습니다.
• 허위 정보 활동을 방지하고 완화하려면 소셜 미디어 및 공개적으로 사용 가능한 메시징 플랫폼에서 제공하는 이란의 사이버 동향을 확인하고 확인하는 것이 좋습니다.
• 이란 APT 그룹에 대한 캠페인 추적은 TTP에 대한 인사이트를 제공할 뿐만 아니라 조직의 이해관계에 대한 이해를 심화시키는 데 도움이 되는 피해자론도 제공합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

각주

^1S. 추빈, 이란을 시들게 할 것인가? 개혁, 국내 정치 및 국가 안보, 뉴욕, 옥스포드 대학 출판부, 2002, p. 91.

²https[:]//www.tabnak[.]ir/fa/news/816849