중동 석유 관련해서 미국의 움직임 관찰한 듯

최근 일어난 이라크 사태에 민감하게 반응한 모습 보여

[보안뉴스 문가용] 중국의 해킹 부대인 딥 팬더(Deep Panda)가 지난 6월 말 국가 보안과 관련된 미국의 싱크탱크들을 여러 차례, 동시에, 고차원적인 방법으로 공격한 것이 드러났다고 보안 전문회사인 크라우드스트라이크(CrowdStrike)에서 발표했다.

딥 팬더는 2009년부터 하이테크, 금융 관련, 정부부처 기관 등을 노린 악명 높은 단체로 동남아시아 및 중동의 국가 안보와 관련된 정보들을 미국 싱크탱크의 시스템으로부터 탈취한 정황이 드러났다. 동남아시아와 중동이라면 6월에 국제 분쟁이 유달리 크게 일어났던 곳이기도 하다. 크라우드스트라이크 측은 공격을 당한 싱크탱크의 정확한 이름을 밝히지는 않았으나 이메일, 연락처, 파일 등의 정보가 넘어간 것으로 보고했다.

딥 팬더는 여태껏 동남아시아 내 미국 정부의 활동에 관한 정보를 주로 수집한 것으로 알려졌으나 갑자기 방향을 선회해 이라크와 중동 정책에 관한 정보에까지 손을 뻗치기 시작했다고 크라우드스트라이크는 8일 오후 자신들의 웹 사이트를 통해 밝혔다. “최근 무장 이슬람 단체인 ISIL(이라크-레반트 이슬람 국가)이 이라크 지역 대부분을 장악한 것과 관련이 있습니다. 의심할 것도 없지요. 중국의 석유 수입과 큰 상관이 있는 사건이었거든요.”

블로그에서는 설명이 계속해서 이어졌다. “중국은 여러 나라에서 석유를 수입하는데, 이라크는 다섯 번째로 큰 규모를 차지하고 있습니다. 이라크 석유 분야에 가장 큰 투자를 하는 나라가 바로 중국이기도 하고요. 중국 정부로서는 미군이 이 지역에 얼마큼 개입하는지가 너무나 궁금할 수밖에 없습니다. 사실 딥 팬더가 방향을 선회하기 시작한 날짜기 정확히 6월 18일로, ISIL이 바이지의 석유 정제소를 공격한 날과 일치하기도 합니다.”

공격 방법은 상당히 고차원적이었다. 윈도우의 취약점을 공략해 파워쉘 스크립트를 윈도우의 정식 태스크처럼 이식시킨 것. “스크립트는 명령행을 통해 파워쉘 인터프리터를 통과했습니다. 그렇게 함으로써 공격 대상자의 컴퓨터에서 안티 바이러스 프로그램 등의 감지 시스템이 발동하지 않도록 한 것이죠. 딥 팬더는 웹 익스플로잇(Web exploit)이나 SQL 인젝션 수법을 특히 많이 사용하는데, 이렇게 하면 메모리나 명령행을 거치기 때문에 감지가 어렵습니다.” 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)의 설명이다. “아마 당분간 이 방법을 고수할 것으로 보입니다.”

크라우드스트라이크는 자체 개발한 팔콘 호스트(Falcon Host) 소프트웨어를 가지고 이 공격을 감지할 수 있었다. 팔콘 호스트는 엔드포인트들로부터 보안 관련 정보를 수집해 크라우드스트라이크가 자체적으로 수집해 보유하고 있는 위협 정보와 대조하는 기능을 수행한다. 팔콘 호스트는 크라우드스트라이크가 인권기관과 싱크탱크 시스템에 무료로 설치해주는 프로그램이기도 하다.

현재 공격에 노출된 싱크탱크들은 후속 처리에 여념이 없다고 한다. 또한 앞으로 일어날 공격을 막기 위한 방비책도 단단히 다지고 있다고. “씽크탱크들은 보통 전에 정부 기관에 몸담았던 사람들입니다. 즉 상당히 영향력 있는 사람들과 친분을 유지하고 있는 부류들이죠. 딥 팬더로서는 맛 좋은 먹잇감이므로 공격은 당분간 계속 될 것으로 보입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>