5년 넘게 몰래 활동해 온 중국 해킹 단체가 발견됐다. 이들이 사용한 멀웨어 자체도 매우 정교하지만, 이들의 전략 역시 숨어 있기에 최적화 되어 있어 오랜 시간 들키지 않을 수 있었다. 게다가 이들의 공격 기법을 아직 다 파악하지도 못했다.

[보안뉴스 문정후 기자] 새롭게 발견된 중국 해킹 단체가 2018년부터 새로운 백도어를 활용해 중국과 일본 내 여러 조직 및 개인들을 염탐해온 사실이 뒤늦게 밝혀졌다. 보안 업체 이셋(ESET)이 처음 이러한 악성 활동을 발견했고, 배후 세력에 블랙우드(Blackwood)라는 이름을 붙여 추적하고 있다. 현재까지 파악된 피해자는 중국의 한 대형 제조업체와 무역 회사, 일본 기술 및 제조업체의 중국 사무소, 중국과 일본의 개인 몇 명, 영국 대학에서 고도의 연구를 진행 중인 중국어 구사 가능 연구원 한 명이라고 한다.


2018년부터 활동해 왔지만 이제야 정체가 드러난다는 건 블랙우드라는 단체가 뛰어난 실력을 가지고 있기 때문이라고 정리해서 말할 수 있다. 특히 자신들이 사용한 멀웨어를 숨기는 데에 능숙했는데, 그 비결은 WPS오피스와 같은 인기 높은 소프트웨어 제품들의 업데이트 파일을 악용하는 것이었다. 업데이트 파일처럼 보이는 것에 멀웨어를 숨기는 수법을 사용했던 것인데, 그것만이 아니라 멀웨어 자체도 꽤나 은밀하며, 고도로 발전되어 있었다고 한다. 이 멀웨어는 NSPX30이다.

블랙우드와 NSPX30
이셋의 전문가들에 의하면 NSPX30은 갑자기 출현한 멀웨어가 아니라고 한다. 여러 세대를 거쳐 변형되고 업그레이드 되어 탄생한 것이다. 이셋은 “첫 조상이라고 할 수 있는 건 프로젝트우드(Project Wood)라는 멀웨어”라고 설명하며 “처음 컴파일링 된 게 2005년 1월 9일”이라고 말한다. 이 ‘프로젝트우드’라는 이름도 당시에는 없었고 나중에, 프로젝트우드가 사라진 이후에 연구나 추적 목적으로 지칭하기 위해 만들어진 것이라고 한다.

프로젝트우드는 주로 홍콩의 정치인들과 대만의 개인들로부터 정보를 캐내기 위해 주로 사용됐다. 그 외 동남아시아와 중국 내부의 일부 인물 및 단체들도 염탐의 대상이 됐다. 그런 후 2008년, 블랙우드의 변종이 등장하는데, 이름은 DCM 혹은 다크스펙터(Dark Specter)였다. 무려 2018년까지 악성 캠페인을 실시하며 왕성하게 활동했던 멀웨어다. 그 외에도 여러 버전의 변종들이 등장했지만 DCM만큼 두드러지게 활동한 건 없었다.

NSPX30은 2018년에 처음 개발된 것으로 보이며, 프로젝트우드와 DCM의 특징들을 고스란히 탑재하고 있다. 둘을 기본으로 하여 개발된 것이 분명해 보인다고 한다. NSPX30은 다단계로 공격을 진행하는 다기능 해킹 도구로, 드로퍼, DLL 설치파일, 로더, 오케스트레이터, 백도어로 구성되어 있다. 오케스트레이터와 백도어의 경우 별도의 플러그인을 따로 보유하고 있을 정도로 복잡하고 정교하기도 하다. 주요 기능은 정보를 탈취하는 것으로, 위챗, 텔레그램, 스카이프, 텐센트QQ 등 여러 메신저 애플리케이션으로부터 연락처 정보와 채팅 내용을 훔치고, 피해자의 컴퓨터에서부터 네트워크와 시스템 정보, 키스트로크, 크리덴셜, 오디오 파일 등을 가져가는 것으로 분석된다.

그 외에도 NSPX30은 리버스셸을 만들고, 중국 백신 도구들의 화이트리스트에 스스로를 집어넣을 수도 있다. 네트워크 트래픽을 중간에 가로채는 것도 가능하다. 이런 모든 기능(그 중에서도 트래픽 가로채기 기능) 덕분에 블랙우드는 C&C 인프라를 효과적으로 감출 수 있게 되고, 지난 5년 동안 잘 숨어 왔던 것이라고 이셋은 설명한다.

소프트웨어 업데이트에 숨겨진 백도어
하지만 블랙우드의 가장 큰 특징은 아직 베일에 싸여 있다. 그건 바로 최초 감염 전략인데, NSPX30은 일반적인 공격자들이 사용하는 피싱이나 웹 페이지 침해 등의 기법으로 전파되지 않는다. 수상한 점이 하나도 없는 정상 소프트웨어가, 마찬가지로 수상한 점이 하나도 없는 기업 서버들로부터 업데이트 파일을 다운로드 하는 과정이 진행될 때 블랙우드는 NSPX30을 삽입시킨다. 방법은 알 수 없다.

즉 ‘정상 업데이트 파일을 감염시켜 멀웨어를 전파한다’는 솔라윈즈 사태 때의 수법과 겉모양은 비슷해 보이지만 속사정은 완전히 다르다는 걸 알 수 있다. 솔라윈즈 사태 때 공격자들은 소프트웨어 개발사(솔라윈즈)의 업데이트 서버에 침해해 업데이트 파일 속에 멀웨어를 주입했다. 블랙우드는 업데이트가 다운로드 될 때 발생하는 트래픽의 그 중간에 어떻게든 끼어들어 영향력을 발휘하는 것이다. 이 때문에 이셋은 “네트워크 임플란트를 사용하는 것인지도 모른다”는 가설을 세워두고 조사를 이어가는 중이다. “그런 임플란트들은 공격 피해 조직 네트워크에 연결된 에지 장비들 중 취약한 것들에 저장되어 있을 수 있습니다. 중국 APT들이 자주 사용하는 전략이기도 하지요.”

이런 교묘한 감염 전략을 어떻게 막아야 할까? 이셋은 다음과 같은 몇 가지를 강조한다.
1) 엔드포인트 보호 장치가 NSPX30을 차단하도록 설정한다.
2) 정상적인 소프트웨어와 관련된 트래픽에서 멀웨어가 나올지 모른다는 생각으로 꼼꼼하게 모니터링한다.
3) 중간자 공격에 대한 특별한 관심을 가지고 방어 대책을 수립한다. 최신 스위치 제품에는 중간자 공격에 대한 위험을 완화시켜주는 장치들이 존재한다.
4) 망을 분리한다.

3줄 요약
1. 2018년부터 활동해 온 중국의 APT 단체, 이제야 발각됨.
2. 이들이 사용해 온 멀웨어는 그 뿌리가 2005년으로까지 거슬러 올라감.
3. 소프트웨어 업데이트 악용한 공격, 그 방법은 아직도 알 수 없음.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>