고급 기능을 다수 탑재한 새 백도어가 발견됐다. 이 백도어는 얼마나 강력한지 피해자가 인터넷에 연결되어 있지 않아도 통신 상태를 유지할 수 있다고 한다. 게다가 은밀하여 탐지도 잘 되지 않고, 정보를 꾸준히 공격자들에게로 전달한다. 중국의 것으로 보인다.

[보안뉴스 문가용 기자] 중국의 해킹 조직이 사용하는 것으로 보이는 백도어 프로그램이 여러 나라의 정부 기관에서 발견됐다. 브로드컴 소프트웨어(Broadcom Software) 소속 보안 업체 시만텍(Symantec)에 의하면 이 백도어의 이름은 댁신(Daxin)이고, “이전에 한 번도 보지 못한 고등 기술이 사용되었다”고 한다.


시만텍의 분석에 의하면 댁신은 “‘중간 기계 공격(machine-in-the-middle : 중간자 공격(man-in-the-middle)에서 인간 해커가 기계 해커로 대체되는 공격_역주)’이라는 공격 기법을 통해 피해자의 시스템으로부터 데이터를 몰래 빼돌린다”고 한다. 최소 2021년 11월부터 사용되기 시작했으며, 중국 정부와 적대적 위치에 있거나 중국 정부가 관심을 가질 만한 나라의 기관들이 주요 표적이 되고 있다.

시만텍의 연구원인 비크람 타쿠르(Vikram Thakur)는 “중국 해커들의 백도어 개발 방식은 상황과 시대에 따라 극적으로 달라지는 경향이 있는데, 댁신의 경우에는 사이버 정찰을 장기적으로 하기 위해 만들어진 것”이라고 분석하고 있다. “원래 중국 공격자들은 대체적으로 잡히는 것 혹은 발각되는 것에 크게 신경쓰지 않았습니다. 그래서 1회용 공격 도구들을 많이 만들고 활용했죠. 댁신의 경우 10년 넘게 사용하고 있습니다. 우리가 모르고 있던 중국의 면모죠.”

댁신은 윈도 커널 드라이버의 일종으로 고급 통신 기능들을 탑재하고 있다. 공격자들은 이러한 기능들을 사용해 보안이 강력한 네트워크도 감염시킬 수 있으며, 탐지되지 않은 채 통신도 할 수 있다. 이 통신 기능이 얼마나 강력하냐면, 감염된 시스템이 인터넷에 연결되어 있지 않아도 통신이 가능하다고 한다. 이와 비슷한 성능의 멀웨어로는 시만텍이 2014년에 발견한 레진(Regin)이 있다. 레진의 경우 서양 국가의 첩보 기관들이 만든 것으로 알려져 있다.

시만텍은 댁신이 최소 2013년까지 거슬러 올라간다고 보고 있다. 지금 시점에서도 놀라운 고급 기능들이 이미 그 때부터 있었던 것으로 보인다. “즉, 댁신의 운영자들은 이미 2013년부터 제대로 된 지원을 받은 고급 인재들의 집합소였다는 겁니다.” 시만텍의 연구원들은 다른 멀웨어들에서도 비슷한 흔적들을 찾아냈고, 그러한 성과들을 통해 댁신을 개발하고 운영한 해킹 집단이 최소 2009년부터 활동했을 것이라고 보고 있다.

“댁신의 기능들을 분석하다 보면 공격자들이 통신 기술 개발에 얼마나 많은 투자를 감행했는지 알 수 있습니다. 특히 평범한 네트워크 트래픽에 자연스럽게 스며드는 방법을 만들어내기 위해 온 역량을 집중한 것으로 보입니다. 그러한 노력이 가장 잘 드러나는 부분은, 댁신이 자체 네트워크 서비스들을 발동시키지 않는다는 사실입니다. 대신 피해자들의 시스템에서 이미 운영되고 있는 네트워크 서비스들을 악용하죠.” 타쿠르의 설명이다.

이처럼 놀라운 통신 기능을 가진 댁신은 기본적으로 백도어다. 즉 공격자들이 댁신을 통하여 피해 시스템을 제어할 수 있다는 뜻이다. 댁신을 통해 공격자들은 파일을 읽거나 만들 수 있으며, 각종 프로세스들을 시작하거나 조작할 수도 있게 된다. 어떤 프로세스를 건드리느냐에 따라 피해자의 시스템에 대한 통제권 전부가 공격자에게 넘어갈 수도 있다.

“댁신의 가장 무서운 부분은 공격자들과 댁신 간에 이뤄지는 악성 통신이 정상적인 네트워크 연결 트래픽에 녹아들어간다는 겁니다. 공격자들은 피해자의 네트워크 안으로 들어오는 데이터 전부를 모니터링 할 수 있게 되고, 특정 패턴을 골라서 찾아낼 수도 있게 됩니다. 공격자가 원하는 패턴을 발견하면 댁신은 그 패턴이 발견된 트래픽을 차지하고 안전한 P2P 연결을 성립시킵니다. 그런 후에 댁신은 C&C 네트워크로부터 통신 메시지들을 받을 수 있게 됩니다.” 타쿠르의 설명이다.

이런 고급 기능들을 활용해 공격자들은 장기적인 정찰 캠페인을 벌이는 것으로 보인다. “장기적으로 공격을 하려면 고급 통신 기능과 백도어 기능 외에 필요한 게 하나 더 있죠. 바로 ‘스텔스’ 기능입니다. 최대한 들키지 않아야 최대한 오랜 시간 피해자의 네트워크에 머물며 많은 정보를 입수할 수 있게 됩니다. 그래서 댁신 운영자들은 댁신과 C&C 서버가 직접 통신하지 않도록 설정하고 있습니다.”

시만텍은 댁신의 배후에 중국과 관련된 조직이 있을 거라고 보고 있다. 피해를 입은 정부 기관들이 전부 중국 정부와 외교적으로 관계가 깊은 국가들에 소속되어 있기 때문이다. 게다가 댁신에 감염된 시스템들에서 중국 관련 도구들과 멀웨어가 설치되어 있는 것도 발견되고 있다. 시만텍은 미국 CISA와 협조하여 이러한 상황을 각 피해 조직들에 전파하고 있다. 타쿠르는 “댁신을 탐지한다는 게 너무나 어려운 일이기 때문에 대단히 꼼꼼하게 살피지 않으면 발견되지 않을 것”이라고 말한다.

“댁신 공격을 방지하거나 빠르게 대처하기 위해 필요한 일들은 일반적인 보안 실천 사항들 뿐입니다. 지금으로서는 말이죠. 그래서 더 깊은 분석을 통해 확실한 방법을 마련하여 전파할 예정입니다. 지금으로서는 각종 보안 표준을 잘 지키는 것만이 답입니다.” 타쿠르의 설명이다.

3줄 요약
1. 고급 통신 기능 탑재한 백도어, 댁신 발견됨.
2. 운영자들은 2009년부터, 댁신은 2013년부터 존재했던 것으로 보임.
3. 장기적으로 정보 빼돌리기 위한 중국산 멀웨어로 보이며, 뚜렷한 방어 대책이 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>