스페인 정부가 운영한 것으로 드러난 해킹 그룹 ‘Careto’(aka. The Mask)

2025년 5월 23일, TechCrunch는 스페인 정부가 장기간 운영해 온 것으로 추정되는 정교한 해킹 그룹 ‘Careto(카레토)’에 대한 내부 정보를 공개했습니다. 해당 그룹은 2014년 Kaspersky 연구진에 의해 처음 발견되었으나, 당시 특정 정부와의 연관성은 공개되지 않았습니다. 그러나 이번 보도에 따르면 Kaspersky 내부에서는 Careto가 스페인 정부의 지원을 받는 해킹 팀이라는 확신을 가지고 있었습니다.

Careto는?

Careto는 스페인어로 ‘가면’ 또는 ‘추한 얼굴’을 의미하며, 악성코드 내에 숨겨진 문자열에서 유래된 명칭입니다. 이 그룹은 ‘The Mask’이라는 별칭으로도 알려져 있으며, 2007년부터 활동을 시작한 것으로 추정됩니다. Careto는 Windows, macOS, Linux뿐만 아니라 Android 및 iOS 기기까지 다양한 운영체제를 대상으로 하는 악성코드를 개발하여 전 세계 31개국의 정부 기관, 외교 사절단, 에너지 기업, 연구소, 활동가 등을 해킹 대상으로 삼았습니다.

주요 공격 대상과 스페인 정부와의 연관성

Careto의 주요 공격 대상 중 하나는 쿠바 정부였습니다. Kaspersky는 쿠바 정부 네트워크에서의 감염 사례를 ‘페이션트 제로’(최초 감염자)로 지칭하며, 이를 통해 스페인 정부와의 연관성을 추적하기 시작했습니다. 당시 쿠바에는 바스크 분리주의 테러 단체 ETA의 구성원들이 거주하고 있었으며, 스페인 정부는 이들을 감시하기 위한 목적으로 Careto를 활용했을 가능성이 제기되었습니다. 또한, Careto는 브라질, 모로코, 지브롤터 등 스페인의 지정학적 이해관계가 있는 지역에서도 활동을 펼쳤습니다. 

악성코드의 정교함과 은폐 전략

Careto 악성코드는 고도로 정교하게 설계되어 감염된 시스템에서 키 입력, 암호화 키, VPN 설정, SSH 키 등 민감한 정보를 수집할 수 있었습니다. 또한, 디지털 서명을 이용하여 탐지를 회피하고 감염 흔적을 철저히 삭제하는 등 은폐 전략을 구사했습니다. Kaspersky는 Careto를 ‘당시 가장 정교한 위협 중 하나’로 평가하며, 이를 ‘정부 수준의 스파이웨어’로 분류했습니다.

최근 활동 재개와 현재 상황

2014년 Kaspersky의 보고 이후 Careto는 활동을 중단한 것으로 여겨졌으나, 2024년 다시 활동 징후가 포착되었습니다. Kaspersky는 라틴아메리카와 중앙아프리카 지역의 조직에서 Careto의 악성코드와 유사한 활동을 발견했으며, 이를 통해 Careto가 여전히 활동 중일 가능성을 제기했습니다. 다만, 현재 Careto의 배후가 스페인 정부인지에 대한 명확한 증거는 없으며, Kaspersky는 공식적인 입장을 밝히지 않고 있습니다.

결론

Careto는 스페인 정부가 운영하는 것으로 추정되는 서방 국가의 드문 사이버 스파이 그룹 중 하나로, 그 정교함과 은폐 전략으로 인해 오랜 기간 활동을 지속했습니다. 이번 TechCrunch의 보도는 국가 주도의 사이버 작전이 얼마나 은밀하게 이루어질 수 있는지를 보여주는 사례이며, 향후 국제 사회의 사이버 보안 및 정보전에 대한 논의에 중요한 시사점을 제공합니다.

자세한 내용은 TechCrunch 원문 기사를 참조하시기 바랍니다.
https://techcrunch.com/2025/05/23/mysterious-hacking-group-careto-was-run-by-the-spanish-government-sources-say/