CISA·NSA·캐나다 보안기관, 중국 배후 해킹 조직 신종 백도어 경고
가상화 서버 노린 정교한 침투…17개월 장기 잠복 드러나

[보안뉴스 김형근 기자] 미국과 캐나다 사이버 안보 기관이 중국 정부의 지원을 받는 해킹 조직의 신종 백도어 ‘브릭스톰’(BRICKSTORM)이 정부 조직의 가상화 서버를 노리고 있다고 합동으로 경고했다.


미국 사이버보안및 인프라보안국(CISA)과 국가안보국(NSA), 캐나다 사이버보안센터가 최근 발표한 침해지표(IOC)에 따르면, 이들은 기존 브릭스톰 샘플에 3종의 새로운 변종 분석 결과를 추가해 총 11종의 변종을 식별해냈다.

이 변종들은 국가 배후 공격 집단이 시스템에 장기 잠복하기 위해 사용하는 고도로 정교한 도구임이 드러났다.

IOC는 해커가 침입했다는 결정적 증거 또는 흔적을 뜻한다.

공격 주요 타겟은 정부 서비스 시설과 IT 부문의 핵심 조직들이다. 특히 가상화 서버 환경인 VM웨어 v스피어(vSphere) 및 ESXi 플랫폼을 집중 공격해 인프라 전체를 장악하려는 시도를 보이고 있다.

이 악성코드는 고(Go) 또는 러스트(Rust) 언어로 제작된 ELF 형식 파일 기반 백도어로, 초기 샘플과 달리 최근엔 탐지가 더 까다로운 러스트 기반 변종이 발견되는 등 해커들의 기술이 진화하고 있다.

브릭스톰은 시스템에 대한 전권에 가까운 제어권을 탈취하며, 해커는 이를 통해 파일 업로드와 다운로드는 물론 시스템 내부 데이터를 자유롭게 조작할 권한을 얻게 된다.

공격자들은 감시망을 피하기 위해 HTTPS, 웹소켓, 다중화된 TLS 암호화를 사용해 명령제어(C2) 서버와 통신을 철저히 은닉하는 치밀함을 보였다. 특히 DoH(DNS-over-HTTPS) 방식을 사용하고 정상적 웹 서버 기능을 모방함으로써 악성 신호를 정상적 네트워크 트래픽 속에 완벽히 매몰시켜 보안 장비의 탐지를 무력화했다.

실제 피해 조직의 조사 결과, 중국 해커들은 이미 2024년 4월부터 침투를 시작해 내부 VM웨어 v센터(vCenter) 서버에 악성코드를 심고 약 17개월 동안이나 은밀하게 접근을 유지해 온 것으로 밝혀졌다.

해커들은 도메인 컨트롤러와 ADFS 서버까지 장악해 중요 암호화 키를 탈취했다. 또 일부 변종은 SOCKS 프록시 역할을 수행해 내부망의 다른 시스템으로 공격 범위를 넓히는 측면이동을 지원했다.

CISA와 사법 당국은 각 조직이 공개된 YARA 및 시그마 탐지 규칙을 즉시 활용해 시스템 내 잔존 위협을 점검할 것을 강력히 권고했다. 가상화 서버 환경의 취약성이 국가 안보의 치명적인 약점이 될 수 있다는 음을 경고다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>