위협 개요: 이란과 관련된 사이버 위험의 확대 (6월 30일 업데이트)

전체 개요

최근 이란과 관련된 분쟁, 특히 이스라엘 및 미국과의 군사적 교전으로 인해 사이버 파급 위험이 크게 높아졌습니다. 이는 전통적인 전장을 디지털 영역으로 확장한 것입니다.

아직 이란이 주도하는 사이버 공격이 급격히 증가하지는 않았지만, 국가가 후원하는 단체와 독립적인 핵티비스트의 사이버 작전이 급증하면서 공격이 더욱 확대될 조짐이 있습니다. 이들의 목표는 적을 교란하거나, 적에 대한 정보를 수집하거나, 적에게 영향을 미치는 것입니다. 이란 위협 단체는 전 세계 공공 및 민간 기업의 중요 인프라와 민감한 산업을 표적으로 삼은 전력이 있으며, 이러한 공격은 광범위한 결과를 초래할 수 있습니다.

지난 2년 동안 Unit 42는 이란의 지원을 받는 단체와 핵티비스트들이 다음과 같은 활동을 포함하여 글로벌 사이버 작전을 확장하는 것을 관찰했습니다.

• 소셜 엔지니어링 및 인플루언서 운영을 위한 생성형 AI(GenAI) 활용
• 파괴적 공격을 지정학적 이벤트와 명시적으로 연결

이 단체들이 저지른 것으로 알려졌던 활동들만이 아닙니다. 이러한 활동은 최근 이스라엘과 미국이 관련된 이벤트로 인해 더욱 심해질 수 있습니다. 여기에는 다음이 포함됩니다:

• 파괴적 공격
• 웹사이트 훼손
• Distributed Denial-of-Service(DDoS) 공격
• 이전에 목격했던 이스라엘 교육 및 기술 부문을 노리는 이란 단체로부터의 데이터 유출 및 와이퍼 공격

저희는 전 세계의 위협 활동을 추적하고 있으며, 이란은 중국, 러시아, 북한에 더하여 모니터하고 있는 4대 주요 국가 행위자 중 하나입니다. 주요 목표인 이란의 국가적 행위자들은 스파이 행위와 혼란을 야기하는 경우가 많습니다. 이러한 단체는 표적 스피어 피싱 캠페인과 알려진 취약점 악용 등 다양한 전술, 기술 및 절차(TTP)를 사용합니다. 구체적인 관찰 사항은 다음과 같습니다.

• 스파이 행위를 위한 은밀한 인프라: 최근 Unit 42가 파악한 사례는 독일 모델 에이전시를 사칭해 사이버 스파이 활동을 벌인 이란의 은밀한 인프라가 의심되는 사례입니다. 이러한 작전은 가짜 웹사이트를 배포하여 광범위한 방문자 데이터를 수집하고 전략적 정보 수집 목표를 제시합니다.
• AI로 강화된 소셜 엔지니어링: 최근에 관찰된 사항은 이란의 위협 단체(Agent Serpens, 일명 CharmingKitten)가 미국 비영리 연구 기관인 RAND의 문서로 위장한 악성 PDF에 GenAI를 사용한 것입니다. 해당 단체는 이 PDF를 표적화된 악성코드와 함께 배포했습니다.
• 지속적인 파괴 작업: 이란의 지원을 받는 Agonizing Serpens APT 단체는 2023년 1월부터 10월까지 이스라엘의 교육 및 기술 부문을 표적으로 삼아 개인 식별 정보(PII) 및 지적 재산과 같은 민감한 데이터를 탈취하려고 했습니다. 이 공격에서는 시스템을 파괴하고 포렌식 분석을 방해하기 위해 와이퍼를 배포하기도 했습니다.

현재 진행 중인 이란의 지정학적 상황과 관련하여 잠재적인 사이버 위협 활동에 대한 네 가지 주요 영역을 확인했습니다.

• 이란의 국가적 위협 행위자: 단기적으로 이란의 국가적 해커들은 외교관을 겨냥한 스피어 피싱 이메일부터 미국과 이해관계로 묶인 조직을 노리는 파괴적인 와이퍼 멀웨어에 이르기까지 표적 공격을 활용할 가능성이 높습니다.
• 핵티비스트: 이란을 지원하는 핵티비스트들은 국내외에서 미국의 이익을 겨냥한 파괴적인 공격과 영향력 행사를 계속할 가능성이 높습니다. 여기에는 인터넷 액세스를 방해하고 소셜 미디어 플랫폼의 운영에 영향을 미치기 위한 DDoS 공격이 포함됩니다.
• 사이버 범죄 단체: 해당 단체들은 전 세계의 불확실성을 악용하여 피싱 캠페인을 시작하고 악성 이메일과 첨부 파일을 필두로 전 세계에서 발생하는 이벤트를 이용할 수 있습니다.
• 기타 국가 행위자: 다른 국가를 위협하는 행위자들이 자국의 이익을 도모하기 위해 이벤트를 이용할 가능성이 있습니다. 이러한 공격에는 이란이 아닌 다른 지역의 공격자가 이란에서 발생한 것처럼 위장하는 허위 플래그 작업이 포함될 수 있습니다. 이는 이란의 공격자들이 2019년 이란의 사이버 인프라를 탈취했을 때 이미 손상된 네트워크에 러시아가 편승한 사례에서 볼 수 있습니다.

Palo Alto Networks 고객은 다음 제품을 통해 이러한 위협 행위자 활동으로부터 보호 및 완화 조치를 받을 수 있습니다:

• 지능형 Threat Prevention 기능을 갖춘 차세대 방화벽
• Cortex XDR, XSIAM 및 Cortex Cloud

Unit 42 인시던트 대응 팀과 협력하여 손상을 해결하거나 위험을 낮추기 위한 사전 예방적 평가를 제공할 수도 있습니다.

현재 사이버 공격의 범위

Unit 42는 'Serpens'라는 별자리 이름으로 이란 국가가 후원하는 다양한 행위자들을 추적합니다. 이러한 단체는 앞으로 몇 주 동안 활동을 늘리거나 확대할 수 있습니다.

국가가 후원하는 이란의 사이버 역량은 종종 정치적 메시지를 투사하고 증폭하는 데 사용됩니다(종종 파괴적이고 심리적인 전술 사용). 이러한 노력은 지역적 목표(예: 이스라엘)와 가치가 높은 목표(예: 정치인, 주요 의사 결정권자 및 기타 직접 관련 기관)에 초점을 맞출 가능성이 높습니다.

국가가 후원하는 캠페인은 피해자의 공급망, 주요 인프라, 공급업체 또는 제공업체를 표적으로 삼을 수 있습니다.

이 이벤트와 관련하여 이미 보고된 사이버 공격의 대부분은 Denial-of-Service(DOS) 공격입니다. 핵티비스트나 프록시 행위자와 같은 제3자 공격자는 일반적으로 한 쪽 또는 다른 쪽을 지지하며 상대방에게 부정적인 영향을 미치고 영향력을 행사하는 것을 목표로 합니다.

2025년 6월 22일 기준, 120개의 핵티비스트 단체가 이벤트에 대응하여 활동하고 있는 것으로 알려졌습니다. 다른 공개 보고서에 따르면 사이버 범죄 단체와 국가가 지원하는 프록시 단체도 활동 중이라고 합니다.

DDoS가 가장 많이 보고된 공격 방법으로 나타났으며, 파괴적 공격이 그 뒤를 이었습니다. 이러한 이벤트와 관련된 데이터 와이퍼와 같은 파괴적인 멀웨어의 샘플이 연구자들에 의해 관찰되었습니다. 파괴적인 공격에는 2025년 6월에 암호화폐 거래소 침해로 발생한 9천만 달러의 자금 파괴도 포함됩니다.

기타 데이터 유출 및 관련 데이터 누출은 어느 쪽이든 피해를 입히려는 의도입니다. 보고서에서는 또한 운영 기술(OT) 타겟팅도 이야기합니다. 에너지 및 기타 유틸리티 회사의 데이터 유출 사건도 이러한 이벤트와 직접적으로 연관되어 보고되었기 때문에 이 두 가지는 서로 연관되어 있는 경우도 합니다.

Unit 42가 추적한 이란 위협 단체

• Agent Serpens(일명 APT42)
  • 주로 이스라엘과 미국을 대상으로 하는 스파이 행위 및 감시 단체로, 반체제 인사, 활동가, 언론인 및 이란 정부에 반대하거나 위험하다고 간주되는 기타 단체를 표적으로 함
  • 초기 액세스: 주로 가짜 로그인 페이지를 통한 인증정보 탈취를 포함한 스피어 피싱과 워터링홀 공격이 주를 이룸
• Agonizing Serpens(일명 Pink Sandstorm)
  • 이 단체는 중동의 표적에 대한 스파이 행위, 랜섬웨어 및 파괴적인 멀웨어 공격에 관여하며 이스라엘에 대한 공격에 집중
  • 초기 액세스: 암호 공격(예: 무차별 대입, 암호 스프레이) 및 알려진 취약점 악용(웹 셸 배포에 따름)
• Boggy Serpens(일명 MuddyWater)
  • 이란 정부 및 기타 위협 행위자에게 훔친 데이터와 액세스 권한을 제공하는 사이버 스파이 행위 단체
  • 초기 액세스: 스피어 피싱 및 알려진 취약점 악용
• Curious Serpens (일명 Peach Sandstorm)
  • 미국, 중동 및 유럽의 항공우주, 방위 및 에너지 부문을 대상으로 2013년부터 활동하는 스파이 그룹입니다. 이 그룹은 C2용 Azure를 비롯한 클라우드 인프라를 활용했습니다.
  • 초기 액세스: 광범위한 표적 암호 스프레이 공격 또는 구인 기반 소셜 엔지니어링 캠페인을 통해 Falsefont 또는 Tickler 백도어를 비롯한 맞춤형 멀웨어를 전달합니다. 일단 내부에 들어가면, 이 그룹은 AzureHound 및 Roadtools와 같은 도구를 사용하여 검색 활동을 수행하여 Microsoft Entra ID에서 데이터를 수집하고 덤프하는 것으로 알려져 있습니다.
• Devious Serpens (일명 Imperial Kitten)
  • 공급망 캠페인의 일환으로 중동의 IT 공급업체를 표적으로 삼는 것으로 알려진 스파이 행위 단체
  • 초기 액세스: 소셜 미디어를 통한 소셜 엔지니어링, 자격 증명 스피어 피싱 및 워터링홀 공격, 웹 셸 배포
• Evasive Serpens (일명 APT34)
  • 국가 이익에 부합하는 광범위한 표적 공격으로 유명한 스파이 행위 단체
  • 초기 액세스: 스피어 피싱에 크게 의존하지만, 자격 증명 탈취 캠페인 및 DNS 하이재킹과 같은 다른 복잡한 공격과도 연관되어 있음
• Industrial Serpens (일명 Chrono Kitten)
  • 국가 이익에 부합하는 파괴적 공격(예: 랜섬웨어, 와이퍼 멀웨어, 해킹 및 유출 공격)과 관련된 이란 프록시 단체
  • 초기 액세스: 스푸핑된 웹사이트에서 호스팅되는 Android 스파이웨어를 배포하는 소셜 엔지니어링, 암호 공격(예: 무차별 대입, 암호 스프레이) 및 알려진 취약점 악용

결론

위협 행위자가 사용하는 다양한 전술을 고려할 때, 단일 도구로는 이러한 적응형 위협에 대한 완벽한 보호를 제공할 수 없으므로 다중 계층형 방어가 가장 효과적입니다. 다양한 전술에 대해 탄력적인 보호 기능을 제공하는 검증된 접근 방식인 기본 보안 위생에 집중하는 것이 좋습니다.

가능한 공격으로 인한 영향을 완화하기 위해 다음과 같은 예방 조치를 권장합니다.

전술적 권장 사항

• 가능한 경우 모든 위협 신호, 특히 웹사이트, 가상 사설 네트워크(VPN) 게이트웨이, 클라우드 자산과 같은 인터넷 연결 자산과 관련된 위협 신호에 대한 대응력 높이기
• 보안 패치 및 기타 강화 모범 사례를 통해 인터넷 연결 인프라를 최신 상태로 유지
• 피싱 및 소셜 엔지니어링 전술에 대해 직원들에게 교육하고 의심스러운 활동이 있는지 지속적으로 모니터링
• 6월 30일, CISA, FBI, 국방부 사이버 범죄 센터, NSA는 공동 팩트 시트 “이란 사이버 행위자들이 취약한 미국 네트워크 및 관심 단체를 표적으로 삼을 수 있음”을 발표하여 이란 국가가 후원하거나 이와 연계된 위협 행위자들의 잠재적인 사이버 작전에 대한 경계를 유지하도록 조직들에게 촉구했습니다.

전략적 권장 사항

• 디지털 또는 물리적 공격으로 인해 중단될 수 있는 직원 또는 자산에 대한 비즈니스 연속성 계획 시작 또는 업데이트
• 침해 또는 데이터 유출 주장을 검증하고 대응하기 위한 준비
  • 위협 행위자는 피해자를 당황하게 하거나 괴롭히거나 또는 정치적 서술을 유포하기 위해 (사실이 아니더라도) 특정 주장을 내세울 수 있습니다.

이러한 이벤트 기간 동안 활동이 계속 강화될 가능성이 높으므로 잠재적인 공격에 대한 경계를 늦추지 않는 것이 중요합니다. 핵티비스트와 국가가 지원하는 위협 행위자들은 기회주의적인 태도를 취해왔기 때문에 예상치 못한 출처가 표적이 될 가능성이 있습니다.

더 많은 관련 정보가 입수되는 대로 이 위협 개요를 업데이트할 예정입니다.

Palo Alto Networks와 Unit 42의 지원 방법

Palo Alto Networks 고객은 다양한 제품 보호 및 업데이트를 활용하여 이러한 이벤트의 측면과 관련된 위협을 식별하고 방어할 수 있습니다.

개인정보가 유출되었다고 생각되거나 긴급한 문제가 있는 경우 Unit 42 인시던트 대응 팀에 문의하거나 전화하세요.

• 북미: 무료 전화: +1(866) 486-4842(866.4.unit42)
• 영국: +44.20.3743.3660
• 유럽 및 중동: +31.20.299.3130
• 아시아: +65.6983.8730
• 일본: +81.50.1790.0200
• 호주: +61.2.4062.7950
• 인도: 00080005045107

지능형 Threat Prevention 기능을 갖춘 차세대 방화벽 및 Prisma Access

지능형 Threat Prevention에는 실시간으로 익스플로잇을 탐지할 수 있는 머신 러닝 기반 탐지 기능이 내장되어 있습니다.

Cortex

Cortex XDR, XSIAM 및 Cortex Cloud는 알려진 악성 멀웨어의 실행을 방지하도록 설계되었습니다. 또한 로컬 분석 모듈에 기반한 행동 위협 보호 및 머신 러닝을 사용하여 알려지지 않은 멀웨어 및 기타 악성 활동의 실행을 방지하도록 설계되었습니다.