이번 주에 레바논 전역에서 5,000개의 휴대용 호출기와 무전기, 지문 인식 장치가 폭발하여 수십 명이 사망하고 수천 명이 부상을 입었으며, 그에 따른 공황 상태로 주민들이 스마트폰 배터리를 뜯어냈다고 합니다.
하지만 물리적으로 훼손되지 않은 스마트폰도 이런 식으로 해킹될 수 있을까? 그리고 무장 단체 헤즈볼라의 구성원들이 사용하는 이 페이저가 원격으로 해킹되었을 가능성이 있을까?
보도에 따르면, 화요일에 일어난 폭발은 30분 간격으로 일어난 것으로 보이며, 폭발에 앞서 많은 사람이 기기를 꺼내 LCD 화면을 확인하라는 경고 메시지나 경고음이 울렸다고 합니다.
수요일에 두 번째 공격이 이어졌고, 14명이 사망하고 핸드헬드 라디오가 폭발했습니다. 이 글을 쓰는 동안 태양 전지판과 손가락 인식 장치가 폭발했다는 추가 보고가 들어왔습니다.
이스라엘은 이 지역을 다시 갈등의 위기로 몰고 간 이번 공격에 대한 책임을 공식적으로 주장하지는 않았지만, 부인도 하지 않았습니다.
올드 스쿨 기술
스마트폰이 보급되기 전인 80년대 후반과 90년대 초반에 유행했던 페이저는 배터리로 작동하는 작은 무선 수신기로, 적절한 신호를 수신하면 경고음이나 진동으로 경고음을 울립니다.
호출기는 통신망에서 작동하므로 인터넷 신호가 필요하지 않습니다. 따라서 추적당하는 것을 원치 않는 군인에게 유용합니다.
이러한 구식 장치는 여전히 전 세계 의료계에서 많이 사용되고 있으며, 주로 셀룰러 네트워크가 널리 보급되지 않은 중동 지역에서 사용됩니다.
하지만 이런 작고 구식 페이저(보통 AA 또는 AAA 배터리 1개 또는 최신 모델의 리튬으로 구동됨)를 어떻게 폭발시킬 수 있었을까요? 그리고 이것이 원격 공격이었다면 다른 사이버 범죄자들이 비슷한 공격을 하는 것을 막을 수 있는 것은 무엇일까요?
전문가들은 두 가지 가능성을 지적합니다. 첫 번째는 악성 소프트웨어가 페이저의 리튬 배터리를 과열시키고 폭발시키는 사이버 공격입니다.
두 번째 시나리오는 레바논으로 향하던 호출기 선적이 가로채지고 소량의 폭발물이 은밀하게 삽입된 공급망 공격을 가리킨다.
미네소타에 있는 사이버 회사인 Arctic Wolf의 현재 최고 정보 보안 책임자이자 전직 특수 FBI 요원인 아담 마레에 따르면, 이 사건이 표준 호출기를 해킹하여 폭발시킨 사이버보안 사고일 가능성은 극히 낮다고 합니다.
“장치가 폭발할 수 있는 시나리오는 있지만 우리가 목격한 이번 공격의 규모는 실행하기 거의 불가능할 것입니다.”라고 그는 말했습니다. 기술 정보.
“더욱 가능성이 높은 것은 이러한 장치가 수신자에게 배송되기 전에 조작되었을 가능성이고, 이는 공급망 문제를 일으킵니다.
“이것은 워키토키도 폭발적으로 늘어나고 있다는 소식을 들은 지금 더욱 입증되었습니다. 훼손된 기기의 범위는 우리가 보고 있는 것이 해킹 사건이라기보다는 기기에 대한 조직적인 공격일 가능성이 더 높다는 것을 증명합니다.”라고 그는 덧붙였습니다.
로이터는 휴대용 무전기가 호출기와 동시에 구매되었다고 보도했고, 또 다른 전직 FBI 특수요원인 미구엘 클라크는 물리적 공급망 공격 이론을 뒷받침하고 있다.
현재 Armor Defense의 사이버 보안 전도사인 클라크는 “무전기가 호출기와 동시에 구매되었다는 보고가 있습니다. 미국과 EU의 제재로 인해 이란이나 그 기관에 전자 제품을 판매하는 것은 금지되어 있습니다.
“제재는 일반적인 기업이 경험할 수 있는 것과 같은 “제3자” 공급망 위험 상황을 만들어냅니다. 프록시를 통해 상품과 서비스를 조달한다는 것은 최종 사용자가 프로세스를 덜 통제할 수 있다는 것을 의미합니다.”
조직적인 공격
전직 윤리적 해커이자 현재 플로리다에 있는 Zero Trust 사이버 보안 회사 Threatlocker의 CEO인 대니 젠킨스는 공급망 공격이 가장 가능성이 높다는 데 동의합니다. “호출기는 어디에서나 셀룰러 신호를 수신할 수 있으므로 어디에서나 폭발 신호를 수신할 수 있습니다.
“이 경우의 가정은 그들이 배터리를 더 작은 배터리로 교체하고 오래된 배터리 대신 폭발물을 넣었다는 것입니다.
“어딘가에서 선적물이 가로채였습니다. 그들은 호출기를 내리고 호출기에 폭발물을 장착하거나 조작된 호출기로 교체했습니다.”
“페이저는 셀룰러 기기이기 때문에 명령을 내리는 데 사용할 수 있습니다. 사용자의 주의를 끌기 위해 메시지를 보낸 다음 폭발을 유발한 두 번째 메시지를 보낸 것 같습니다.” 젠킨스가 덧붙였습니다.
클라크에 따르면, 문제의 “사이버” 측면과 관련하여, 폭발의 조정된 성격은 일종의 원격 코드 실행의 증거입니다.
“실수로 폭발했다는 보고는 없으므로 방아쇠는 무선 기폭 장치가 아니라 일종의 전자 신호였을 것으로 생각합니다.”라고 그는 말합니다.
“일반적인 라디오와 페이저는 불연성 재료로 제작됩니다. 회로 기판 또는 인쇄 회로 기판(PCB)은 일반적으로 내화성이 있도록 설계된 재료로 만들어집니다.
클라크는 라디오와 전자 신호는 난연성 유리 섬유와 에폭시 수지를 폭발성 물질로 변환할 만큼의 에너지가 부족하다고 덧붙였다.
그는 회로판이 타버릴 수는 있지만 폭발하지는 않을 것이라고 말합니다. 보안 전문가는 삼성 갤럭시 노트 7 배터리 문제를 예로 들어 설명합니다. “배터리 폭발에 대한 보고는 3500mAh 배터리가 발화하여 저전력 폭발이 발생할 수 있다는 결과였습니다.
“저폭약은 음속보다 느린 속도로 타오릅니다. 고폭약은 음속보다 빠른 속도로 폭발합니다. 폭발 횟수가 많고 사상자가 비교적 적은 것도 소형 고폭약이 사용되었음을 보여줍니다.” 클라크가 말했습니다.
공급망의 고통
폭발 장치가 공급망의 어느 부분에서 조작되었는지 정확히 알아내는 측면에서, 마레는 이 일이 수신자에게 발송되기 전에 일어났을 수 있다고 생각합니다.
“이것은 워키토키도 폭발적으로 증가하고 있다는 소식을 들은 지금 더욱 입증되었습니다. 훼손된 기기의 범위는 우리가 보고 있는 것이 해킹 사건이라기보다는 기기에 대한 조직적인 공격일 가능성이 더 높다는 것을 증명합니다.”라고 그는 말했습니다.
젠킨스는 공장 단계에서 조작된 것이 아니라면 레바논으로 운송 중이었을 가능성이 있다고 말했습니다.
“중동에서는 선박을 가로채는 일이 꽤 흔하기 때문에 선박이 가로채이고 호출기가 조작되거나 심지어 교체되었을 가능성도 그다지 무리가 아닌 것 같습니다.”라고 그는 말합니다.
FT와 뉴욕타임스의 보도에 따르면, 이 호출기는 대만 회사인 골드 아폴로(Gold Apollo)가 발급한 것이지만, 소유주는 이 특정 배치가 부다페스트 공장 BAC에서 제조되었다고 주장했습니다. BAC는 이 회사와 장기 라이선스 계약을 맺고 있었습니다.
이러한 장치가 어떤 수단으로 해킹되었는지, Jenkins는 공격자가 정보를 수집하는 데 훨씬 더 유용할 수 있는 추적 또는 도청 장치를 심는 대신 왜 이를 폭발시키기로 했는지 의문을 제기합니다.
“저는 이 모든 것에 대해 정치적으로 너무 깊이 파고들고 싶지는 않지만, 12명 정도를 죽인 건 엄청난 작전인 듯합니다. 그들은 그저 성명을 내고 싶었던 것 같습니다.”
우리는 걱정해야 할까?
그렇다면 민간인과 중요 인프라 기관은 국가 또는 비국가적 악의적 행위자가 개인 모바일 기기를 겨냥한 사이버 공격을 감행하는 것에 대해 우려해야 할까요?
답은 ‘예’이자 ‘아니오’입니다. 지정학적으로나 공급망 측면에서 이러한 공격은 이전에 간과되었을 수 있는 여러 취약점을 강조하기 때문에 우려스럽습니다.
대만 정부 관리와 업계 전문가들은 골든 아폴로 장치에 관해 유럽이나 중동에서 조립된 장치도 여전히 대부분의 부품을 대만이나 중국 기업으로부터 조달해야 했을 것이라고 확인했습니다.
이는 수만 개의 종종 소규모인 대만 기업에 걸쳐 있는 기술 공급망의 복잡성을 강조합니다. 이들 중 다수는 중국이나 베트남에서 공장을 운영하는 데 풍부한 경험이 있지만 국경 간 보안 문제나 수출 통제 규칙에 대한 이해가 부족한 창업자에 의해 운영됩니다.
클라크는 이러한 공격이 물리적 공격, 셀룰러 공격, 디지털 공격을 모두 혼합한 새로운 종류의 공격을 의미한다고 보았습니다.
“시간이 지날수록 ‘순수 사이버’ 공격은 줄어들 것으로 생각합니다. 2023년 MGM의 랜섬웨어 공격은 아주 좋은 예입니다. 그 침해에는 사람들이 전화를 걸어 전자적 접근을 얻는 것이 포함되었습니다.
“기술적 통제가 점점 더 정교해짐에 따라 공격자는 기술적 노력에 인간의 개입을 더해야 할 것입니다.”
클라크는 작은 악성 코드가 심각한 물리적 손상을 일으켜 27톤 발전기를 폭파한 사건을 인용합니다. 그는 이 사례가 산업 시스템에 대한 사이버 공격의 잠재적 위험을 강조하며, 사소한 코딩 작업조차도 실제 세계에서 치명적인 결과를 초래할 수 있음을 보여줍니다.
또 다른 우려는 레바논 호출기 공격이 중동에서 벌어지는 새로운 전쟁의 물결을 알리는 신호라는 것입니다. 이는 곧 1년을 맞이하는 이스라엘-하마스-헤즈볼라 갈등에서 군인뿐만 아니라 민간인들에게도 영향을 미치고 있습니다.
그러나 Marrè에 따르면, 우리의 스마트폰은 지금으로서는 안전합니다. “이것은 공급망을 보호하는 것에 대한 근본적인 의문을 제기하지만, 이런 종류의 공격은 표준 기기에서 대규모로 수행하기 매우 어렵다는 점은 다행입니다.”라고 그는 말합니다.