• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국의 APT 앤트라이언, 대만 금융 기관들을 집중적으로 노려 2022.02.07

중국의 APT인 앤트라이언은 피해자의 네트워크에 오랜 시간 머무는 것으로 유명하다. 그런 단체가 최근 대만의 금융 조직들을 집중적으로 노리는 정황이 발견됐다. 아직 이들의 목적을 다 알 수는 없으나, 실력 만큼은 뛰어난 것이 확실해 보인다.

[보안뉴스 문가용 기자] 중국 정부의 지원을 받는 해커들 중 앤트라이언(Antlion)이 최소 지난 18개월 동안 대만의 금융 기관들을 공격해 왔다는 사실이 드러났다. 앤트라이언은 피해 조직에 침투하여 백도어를 심고 민감한 정보를 빼돌렸다고 한다.

[이미지 = utoimage]


앤트라이언은 피해자의 네트워크나 시스템에 대단히 오래 머무르는 것으로 악명이 높은 단체다. 이번에 적발된 캠페인에서도 이들은 한 제조 업체에 6개월, 한 금융 조직에 8개월 이상 머물며 악성 행위를 저지른 것으로 조사됐다. 이러한 행위에 대해 보안 업체 시만텍(Symantec)이 상세 보고서를 발표했다.

앤트라이언은 파이럿판다(Pirate Panda)나 트로픽트루퍼(Tropic Trooper)라고 불리기도 한다. 주로 남중국해 연안 국가들을 노리기 때문에 인도, 베트남, 필리핀 등에서 이들의 흔적이 발견되는 편이다. 이번 캠페인에서는 대만이 집중적으로 공격에 노출됐었는데, 시만텍의 분석가인 알란 네빌(Alan Nevile)에 의하면 중국 정부의 지정학적 적국을 노렸다는 점에서는 기존 공격과 다를 바가 없다고 한다.

“하지만 앤트라이언의 궁극적 목표에 대해서는 아직 추정밖에는 할 수 있는 게 없는 상황입니다. 중국과 대만 사이의 정치학적 관계가 그리 좋지 않다는 것을 알고는 있지만, 그것만으로는 공격의 목적을 다 알 수는 없지요. 그러나 공격자들이 아주 정교히 구성되어 있고, 실력 또한 최상급이라는 건 거의 확실합니다. 금융 기관들에 장기적으로 머물며 자기들이 원하는 것을 죄다 해낸 것으로 보이거든요.”

현재 중국과 대만은 정치적 관계는 악화일로를 달리고 있다. 중국은 대만이 자신의 영토라고 주장하고 있고, 대만은 여기에 절대 동의할 수 없다는 입장이다. 이에 중국은 대만 근처에서의 공군 활동을 크게 늘리며 위협 수위를 높이고 있으며, 사이버 공격 역시 보다 빈번히 실행하고 있는 상황이다.

시만텍은 최근 보고서를 통해 앤트라이언이 두 개의 금융 조직들과 한 개의 제조업체를 공격한 것으로 보인다고 주장했다. 하지만 네빌은 지난 한 해 동안 공격에 당한 곳은 총 여섯 개의 금융 기관이라고 설명을 덧붙였다. 그리고 이것은 앤트라이언의 기존 공격 패턴과 상충되는 것이라고 밝히기도 했다. “왜냐면 앤트라이언은 정부, 운송, 미디어 서버 등 다양한 조직들을 노려왔거든요.”

앤트라이언이 자주 사용하는 무기들 중 하나는 엑스팩(xPack)이라는 백도어다. 앤트라이언이 직접 만들어 사용하는 것으로 보인다. 엑스팩을 통해 앤트라이언은 피해자의 시스템에서 광범위한 정보에 접속할 수 있게 된다. 또한 WMI 명령어들을 원격에서 실행할 수 있도록 해 주기도 한다. 뿐만 아니라 침해된 시스템에서 추출한 파일을 새롭게 침해된 시스템으로 복사해 전송하기 위해 SMB 공유 기능을 활용하며, 민감한 정바를 다량으로 빼돌려 훗날을 도모하기도 한다.


엑스팩은 닷넷(.NET)을 기반으로 한 백도어로, 최초 침투에 가장 많이 사용된다. 그러고 나서는 추가 악성 기능들을 다운로드 받고, 복호화 한 후 피해자의 시스템에서 실행시킨다. “앤트라이언은 최소 2011년부터 사이버 정찰 행위를 실시한 해킹 단체입니다. 즉 존재가 세상에 발각된 지 10년이 넘은 조직이죠. 피해자의 시스템에 머무르는 기간이 엄청나게 길다는 특징을 가지고 있고, 이 긴 기간 동안 필요한 정보를 충분히 획득합니다.”

시만텍은 앤트라이언이 WMI 명령어나 SMB 공유 기능을 활용하는 등 ‘리빙 오프 더 랜드(living off the land)’ 전략을 구사하는 데에 능숙하다는 점에 집중해야 한다고 설명한다. “즉 방어자의 입장에서는 두 가지 사용처가 있는 프로그램들을 주의 깊게 살펴야 한다는 뜻이 됩니다. 파워셸 최신화나 특정 IP 대역에서만 RDP 연결을 허용하는 등의 정책도 중요하고요.”

네빌은 “최근 공격자들이 정상적인 도구들을 활용하여 자신들의 악의적인 목적을 달성하는 경우가 점점 많아지고 있다”며 “내가 정상적으로 사용하는 도구들에서 발생하는 트래픽이나 로그들이라도 꼼꼼하게 점검하여 수상한 행동 패턴이 있지는 않은지 모니터링 할 필요가 있다”고 강조했다.

3줄 요약
1. 오랜 시간 피해자 네트워크에 머무는 것으로 유명한 중국 APT 단체, 앤트라이언.
2. 최근 이 앤트라이언이 대만의 금융 조직들을 집중적으로 노리기 시작함.
3. 아직 궁극적 목표는 다 알 수 없으나 중국과 대만의 험악한 관계에서 비롯된 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>