미 연방수사국(FBI)이 지난 20여 년 동안 북대서양조약기구(NATO, 나토) 동맹국 등 50개 국가의 정부 문서를 탈취하는 데 사용된 러시아 연방보안국(FSB)의 악성 프로그램(멀웨어)을 무력화했다.

월스트리스저널과 CBS는 이 같은 내용을 9일(현지 시간) 보도했다. 월스트리트저널은 이번 작전을 통해 미국의 비밀을 대량으로 빼내 온 것으로 알려진 러시아의 가장 역사 깊고 대표적인 사이버 첩보 그룹 “투를라”의 활동이 차단됐다고 전했다.

FBI는 8일 러시아 시스템에 침투했다. 투를라가 사용하는 “스네이크(뱀)” 멀웨어 파괴를 목표로 하는 이 작전은 “메두사”라고 불린다. 메두사는 머리카락이 뱀이며 마주친 자를 돌로 변하게 만드는 그리스 신화 속 괴물이다.

FBI가 미 브루클린 연방법원에 제출한 진술서에 따르면 FBI는 투를라가 장기간 벌여 온 사이버 간첩 활동을 적발했다.

투를라는 2015~2017년 한 나토 회원국 외교부 컴퓨터에 스네이크를 감염시켜 50개국의 국방부, 외교부, 언론인 등으로부터 문서를 빼냈다. 해킹 흔적을 남기지 않으려고 미국 내의 바이러스에 감염된 컴퓨터를 이용했다. FBI는 감염된 컴퓨터와 미 국무부 컴퓨터 간 통신을 감청해 UN 및 나토 내부 문서 유출을 파악했다.

FBI는 메두사 작전에서 오레곤주, 사우스캐롤라이나주, 코네티컷주 등지에서 “페르세우스”라는 소프트웨어를 사용해 스네이크가 자폭하도록 만들었다. 페르세우스는 메두사를 처치한 그리스 신화의 영웅이다.

페르세우스 소프트웨어는 특정 컴퓨터에서 스네이크의 임플란트(소유자 모르게 프로그램이나 시스템에 삽입되는 코드 조각)와 통신 세션을 설정하고 이것이 호스트 컴퓨터나 컴퓨터의 정상적인 앱에 영향을 주지 않으면서 자체적으로 비활성화되도록 하는 명령을 내린다.

리사 모나코 미 법무차관은 “첨단 기술 작전으로 러시아의 멀웨어가 스스로를 공격하게 만들어 무력화했다.”라고 말했다. 미 당국자들은 메두사 작전으로 인해 FSB가 스네이크를 복구하지 못할 것이라 보고 있다.

FBI는 기자들에게 스네이크에 감염된 컴퓨터에 페르세우스 도구를 배포하기 시작했으며 많은 컴퓨터에서 투를라의 접속이 차단되었다고 밝혔다.

한편 투를라는 최근 몇 달 동안 우크라이나와 동맹국들에 대한 해킹 공격을 늘린 것으로 알려졌다. 그들은 이메일로 감염시키는 등의 피싱 공격 대신 USB를 컴퓨터에 꽂아 멀웨어에 감염시키는 옛 방식을 사용했다.

사이버보안 전문가들에 따르면 러시아의 투를라는 1990년대 말 미 국방부 등 정부 기관과 방위업체들이 사용하는 비밀 네트워크에 침투하는 등 25년 이상 활동해 왔다.