중국의 해커들이 아무도 모르게 월드컵 인프라에 숨어 있었다는 사실이 행사가 끝나고 한참 뒤에 밝혀졌다. 행사가 무사히 끝난 게 기적인 상황이다.

[보안뉴스 문가용 기자] 2022년 카타르에서 열린 피파 월드컵을 기억하는가? 당시 아슬아슬한 해킹 공격 시도가 있었다고 보안 업체 넷위트니스(NetWitness)가 공개했다. 중국의 APT 조직인 블랙테크(BlackTech)가 월드컵 주최측의 파트너사들 중 네트워크를 담당하는 회사에 몰래 침투해 멀웨어를 심었고, 각종 장비 설정 정보에 접근했다고 한다.


문제는 이러한 공격 행위가 월드컵이 종료되고서 6개월이 지나기까지 탐지되지 않았다는 것이다. 해당 업체를 고객으로 두고 있던 넷위트니스가 정기 감사를 실시하지 않았다면 아직도 발견되지 않았을 수 있다. 최초 침투부터 탐지되기 직전까지의 기간 동안 블랙테크는 데이터를 꾸준히 수집했는데, 그 양이 어느 정도나 되는지는 영원히 알 수 없다.

위태로웠지만 느끼지 못했다
넷위트니스의 사건 대응 책임자인 스테파노 맥카글리아(Stefano Maccaglia)는 “더 큰 일이 일어날 수 있었다는 게 이 이야기의 핵심”이라고 말한다. “생각해보세요. 블랙테크는 대형 통신 업체를 파고들어가 오랜 기간 머물러 있었어요. 월드컵 기간 동안 스트리밍된 모든 방송 및 서비스들을 가로채거나 최소한 방해할 수 있었습니다. 자신들만의 메시지를 송출할 수도 있었지요. 그랬을 때 카타르라는 국가 이미지는 물론 피파의 브랜드 이미지도 심각하게 훼손됐을 거고, 경우에 따라 심각한 지정학적 마찰로도 이어질 수 있었습니다. 수억 달러의 손실이 유형, 무형으로 발생했을 거고요. 왜인지 모르겠지만 그들은 월드컵을 통해 지옥의 문을 열 수도 있었는데 그러지 않았습니다. 카타르 월드컵은 그들이 살려줘서 잘 치러질 수 있었던 겁니다.”

넷위트니스는 월드컵 시작 전부터 해당 업체의 의뢰를 받고 보안 활동을 했다고 한다. 하지만 계약 기간 동안 고객 네트워크와 시스템 전부에 접근할 수 있었던 건 아니라고 한다. 블랙테크가 침투해 있었던 곳은 행사 기간 동안 넷위트니스에 열리지 않았던 영역이었고, 2023년 점검 및 감사 당시에나 들여다볼 기회가 생겼다는 게 넷위트니스의 설명이다. 그리고 그 첫 번째 감사에서 블랙테크가 들어왔다 나갔다는 사실을 알게 되었다.

룻키트와 백도어
조사를 이어갔을 때 공격자가 룻키트와 백도어를 심었다는 사실도 알게 됐다. 백도어의 이름은 워터베어(Waterbear)였는데, 공격자들이 이것을 중요 설정 관리 데이터베이스에 설치해두고 있었던 것으로 밝혀졌다. 이 때문에 피해 기업의 중요 네트워크 장비의 설정 상황을 환히 볼 수 있었던 것으로 추정되며, 이를 통해 피해 기업의 고객들의 정보도 가져갈 수 있었을 것으로 보인다. 그 외에 블랙테크가 과거에도 곧잘 사용했던 멀웨어인 플레드(PLEAD)도 일부 시스템에서 활용되고 있었다는 사실이 드러났다.

“공격자들은 처음부터 이 장비 설정 정보 관련 데이터베이스를 노리고, 이 데이터베이스를 자기들 마음대로 제어하고자 했던 것으로 보입니다. 설정만 잘 조작해도 은밀히 침투해 중요한 악성 행위를 실시하고 흔적 없이 빠져나오는 게 가능하거든요. 실제로 그렇게 했는데 이미 이들이 흔적을 지워버려 우리가 지금에 와서 알아보지 못하는 걸 수도 있습니다.” 맥카글리아의 설명이다.

블랙테크는 작년 미국의 사이버 보안 전담 기관인 CISA가 “주로 통신, 기술, 매체, 전자, 중공업 분야를 노리는 해킹 조직”이라고 경고한 바 있는 단체다. 라우터를 공략하는 데 일가견이 있는 것으로 분석되기도 했다. “블랙테크는 피해자가 설정해 둔 로깅 기능을 무력화시키기도 하고, 도메인 신뢰 관계를 남용하기도 합니다. 그래서 본사와 지사, 모기업과 자기업 간 이동을 꽤나 자유롭게 하는 편입니다. 실력이 남다른 단체라는 뜻입니다.” CISA가 당시 경고한 내용이다.

카타르 월드컵 당시에도 블랙테크는 여러 라우터들을 공격한 것으로 조사됐다. 그런 후 침해한 라우터에 플레드를 업로드 했고, 이 플레드를 통해서는 각종 데이터를 훔쳐냈다. 이 과정에서 정상 펌웨어 업데이트처럼 보이도록 프로세스를 위장시키기도 하고, DNS 연결 과정에 개입하기도 했다. 월드컵 본 행사와 각종 시합들과 밀접한 연관이 있는 조직들의 라우터도 당했다. 이들은 라우터의 설정을 바꾼 채 수시간 정도 자신들의 할 일을 한 뒤 다시 원래 상태로 되돌려 탐지를 회피했다.

가시성의 부족
맥카글리아는 월드컵이라는 대형 행사였는데 행사 전과 행사 기간 중, 그리고 행사가 끝난 후 한참 후까지 아무도 이러한 사실을 몰랐다는 것이 경악스럽다는 의견이다. “그 많은 기업들이 행사에 참여했고, 그 기업들을 따라 수많은 보안 업체들도 간접적으로 활동했는데 그 오랜 기간 동안 단 한 번도 발견되지 않았다니 믿기가 힘듭니다. 이제 2024년 하계 올림픽이 얼마 남지 않았는데, 이 행사를 잘 치를 수 있을 것인가 걱정이 됩니다. 월드컵 때는 침투해 놓고도 얌전했던 공격자들이 올림픽 기간에도 같은 태도를 유지할지는 장담할 수 없습니다.”

올림픽과 월드컵, 슈퍼볼 등 규모가 큰 스포츠 행사들은 사이버 공격자들의 집중 공격을 받는 편이다. 2019년 한국에서 열린 동계올림픽의 경우 러시아 해커들로 알려진 자들이 개회식을 방해하려 했었던 것으로 알려져 있다. 당시 러시아 선수단은 약물 남용 혐의를 받고 출전 금지 조치를 당했었다. 러시아 측에서 이에 대한 보복을 하려던 것으로 추정된다. 다행히 공격자들은 뜻을 이루지 못했다.

“이번 올림픽의 경우 가시성 확보에 특히 신경을 써야 할 것으로 보입니다. 지난 카타르 월드컵 기간 동안 벌어진 사건이 가시성 확보에 실패하면 행사가 완전히 망할 수 있다는 교훈을 남겼기 때문입니다. 또한 ‘공격자들은 이미 들어와 있다’는 전제로 보안 점검을 실시하고 네트워크를 모니터링 한다는 것의 중요성도 다시 한 번 입증되었습니다.”

3줄 요약
1. 2022년 카타르 월드컵, 행사 끝나고 살펴보니 중국 해커 침투해 있었음.
2. 공격자들이 다행히 별 일 안 했지만, 마음만 먹었으면 행사 망칠 수 있었음.
3. 2024년 하계올림픽도 해커들의 활동이 예상되고 있어 가시성 확보 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>