인권 문제가 외교 무대에서 화두이긴 한 모양이다. 중국이 몇 년 동안 자신들의 아킬레스 건과 같은 단체들의 관계자들을 공략해 왔다는 사실이 드러났다. 아직은 정보만 훔쳐간 수준에서 그치고 있긴 한데, 앞으로 무슨 일이 더 벌어질지는 아무도 모른다.

[보안뉴스 문가용 기자] 중국의 APT 단체로 여겨지는 레드알파(RedAlpha)가 전 세계 인권 단체와 싱크탱크, 정부 조직들을 수년 동안 공격해 왔다는 사실이 드러났다. 꾸준히 임직원 크리덴셜을 훔쳐낸 것이 이들의 주요 공격 행위인데, 보안 업체 레코디드퓨처(Recorded Future)가 추적 후 발표한 내용에 따르면 중국 공산당의 인권 침해와 관련된 각종 비판 여론을 모니터링 하기 위한 것으로 추측되고 있다.


레드알파는 딥클리프(Deepcliff) 혹은 레드데브 3(Red Dev 3)이라고도 불리는 단체로, 대규모 크리덴셜 수집에 일가견이 있다. 주로 악성 PDF 문서가 첨부된 피싱 이메일로 피해자들을 속인다. 속은 피해자들이 PDF 문서를 열면 로그인 페이지로 연결이 되며, 여기서 입력한 ID와 비밀번호(크리덴셜)는 공격자들에게 넘어간다. 최소 2015년부터 이러한 활동을 해온 것으로 알려져 있지만 2018년까지는 보안 업계의 이목을 끌지 못했다. 2019년부터 활동량이 크게 증가했다.

“지난 3년 동안 레드알파는 수백 개의 가짜 도메인을 등록하고 이를 공격 인프라로 활용해 왔습니다. 가짜 도메인들은 합법적인 정상 기관들에서 만든 것처럼 보이는데, 주로 국제인권연합(International Federation for Human Rights, FIDH), 국제사면위원회(Amnesty International), 메르카토르 중국연구소(Mercator Institute for China Studies, MERICS), 자유아시아방송(Radio Free Asia, RFA), 대만 미국협회(American Institute in Taiwan, AIT) 등의 이름이 차용됐습니다.”

작년 레드알파는 최소 350개의 도메인들을 만들었는데, 처음 레드알파가 발견된 때부터 지금까지 이렇게 많은 도메인을 공격에 활용한 적이 없었다고 레코디드퓨처는 강조했다. “이 도메인들은 주로 위에 언급된 기관들을 사칭한 가짜 로그인 페이지들을 마련하는 데 활용됐습니다. 공격자들이 해당 기관과 단체들과 관련된 인물들을 집중적으로 노린 것 같습니다.”

레드알파가 특히 관심을 보인 것은 티베트인이나 위구르족과 관련된 사안들이었다고 한다. 그리고 최근에는 대만과 관련된 이슈나 인물들이 주요 표적이 된 것으로 분석됐다. 즉 중국 정부가 국제 무대에서 노골적으로 민감하게 받아들이는 문제들과 깊은 연관이 있는 움직임을 보인 것이다. 중국 정부가 배후에 있을 것으로 강력히 의심되는 이유다.

보안 플랫폼인 버그크라우드(Bugcrowd)의 CTO 케이시 엘리스(Casey Ellis)는 “수집된 정보를 바탕으로 중국 정부는 특정 인물들이나 집단에 대한 물리적 공격을 할 수 있을뿐 아니라, 이들이 전파하는 메시지의 파급력을 줄이기 위한 맞춤형 정보전을 펼칠 수도 있다”고 설명한다. “중국은 기술력도 높을 뿐 아니라 인구 규모도 엄청난 국가입니다. 해킹 공격을 할 수 있는 사람들도 많고, 그런 사람들의 활동을 지원할 수 있는 프로그램도 다양합니다. 해커들이 훔쳐낸 정보를 가지고 허위 정보 및 가짜뉴스 살포 공격을 하는 데에도 능숙하죠.”

이번 캠페인에서 레드알파는 유명한 이메일 서비스의 도메인들도 다음과 같이 흉내 냈다. 전부 타이포스쿼팅(typosquatting) 공격을 위해 마련된 것들이었다. 타이포스쿼팅 공격은 사용자가 도메인을 입력하는 과정에서 오타를 낼 때 접속이 되는 사이트를 만들어 기다리는 것을 말한다.
1) 야후 - 135개 타이포스쿼팅 도메인
2) 구글 - 91개 타이포스쿼팅 도메인
3) 마이크로소프트 - 70개 타이포스쿼팅 도메인

레코디드퓨처에 의하면 이 레드알파는 작전 수행을 위해 큰 규모의 인프라를 갖추고 있다고 한다. 그런데 여기에는 한 가지 특성이 존재한다. “resellerclub.com 네임서버들과 VPS 호스팅 업체인 버추얼 머신 솔루션즈(Virtual Machine Solutions, VirMach)를 꾸준히 사용합니다. 또한 가짜 도메인에 이름을 붙이는 공식도 어느 정도 정해져 있습니다. mydrive-나 accounts-, mail-, drive-, files-와 같은 문자열을 포함시키는 것이죠. 특정 서버사이드 기술을 즐겨 사용하기도 하고, 가짜 HTTP 404 Not Found 오류 페이지들도 자주 활용합니다.”

보안 업체 카디널옵스(CardinalOps)의 수석 전략가이자 부회장인 필 너레이(Phil Neray)는 “이런 대규모 정보 수집 캠페인은 중국 APT 조직들의 대표적인 특징”이라고 설명한다. “중국은 지난 수년 동안 정부의 주도 아래 사이버전을 실행해 왔던 국가입니다. 바이오테크, 반도체, 국방, 에너지 등 주요 산업에 해킹 부대를 투입하여 주요 정보를 빼돌렸죠. 정부 기관들에 침투하여 개인 식별 정보를 대량으로 훔쳐내기도 했고요. 미국 역사상 최악의 개인정보 유출 사고로 꼽히는 OPM 해킹 사건과 앤섬(Anthem) 해킹 사건 모두 중국의 해커들이 벌인 일입니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 CEO인 데런 구시온(Darren Guccione)은 “레드알파 정도면 탑티어에 속하는 해킹 단체이지만, 이들이 주력으로 사용하는 공격 전략은 낡고 오래된 피싱 메일”이라고 지적한다. “보안 교육을 충분히 받지 않은 일반인들은 그럴 듯해 보이는 것들에 쉽게 속아 넘어갑니다. 즉 아직 우리는 시각이라는 감각을 자극하는 공격에 무기력하다는 뜻입니다. 많이 본 로고나 주소, 단체 이름과 비슷한 것들에 무방비 상태가 되기 때문입니다.”

그러면서 그는 “지난 수년 동안 중국 해커들이 수많은 크리덴셜을 훔쳐 간 것이 사실인 만큼 이어질 후속 공격에 대비해야 한다”고 강조했다. “크리덴셜 정보를 아무리 많이 훔쳐가도 그것이 실질적인 피해를 일으키는 공격에 활용되지 않는다면 크게 걱정할 일이 없습니다. 하지만 공격자들은 훔친 크리덴셜을 가지고 추가 공격을 반드시 실행합니다. 정보를 빼돌린다거나, 멀웨어를 심는다거나, DB 속 데이터를 전부 가져간다거나 하지요. 레드알파가 훔쳐간 정보도 이런 식으로 활용될 가능성이 높다고 보고 지금부터 준비를 해야 할 것입니다. 가장 의심되는 건 인권 단체와 밀접한 인사들을 겨냥한 공격이고, 인권 옹호 단체들에 반박하는 여론을 형성하는 것입니다.”

구시온은 “피싱 공격에 대한 기본적인 교육을 꾸준히 이어가는 것도 중요하다”고 강조한다. “보는 것을 그대로 믿는 게 아니라, 그 이면에 대한 것들을 좀 더 조사하고 탐구해가는 습관이 몸에 배도록 하는 게 중요합니다. 내가 보고 있는 로고가 정말 내가 아는 로고와 똑같은지, URL 주소의 철자가 전부 올바른지, 정말 내가 아는 그 단체에서 나에게 메시지를 보낸 게 맞는지 등 확인과 확인을 거듭해야 합니다. 눈으로 하기 힘들다면 시중에 나와 있는 각종 보안 솔루션들을 활용하는 것도 좋은 방법입니다.”

너레이는 “서방 세계가 인권에 대한 가치관을 강조하고 있고, 이 때문에 중국과 러시아와 같은 인권 낙후 국가들이 크게 반발하고 있는 상황에서 인권 단체들은 더욱더 조심할 필요가 있다”고 강조한다. “인권이 정치적인 무기로 활용되는 시기입니다. 여기에 민감하게 반응하는 국가들은 대체적으로 해킹 공격에 능숙하고요. 그러니 인권 활동을 펼쳐가는 데에 있어 더욱 조심해야 합니다.”

3줄 요약
1. 중국의 APT 단체 레드알파, 수년 동안 인권 단체들 감시.
2. 최근 인권 위주의 국제 정세에서 유리한 고지를 선점하기 위한 중국 정부의 움직임.
3. 앞으로 있을 주요 인물 표적 공격과 여론전에 대비할 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>