• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국의 두 해커 단체, 방식과 도구 매우 유사해 2014.09.16

중국 정부가 더 조직적으로 해커들을 운영한다는 뜻일지도


[보안뉴스 문가용] 굉장히 다른 대상을 공격하고 전혀 다른 지역에서 활동하는 것으로 알려진 두 개의 중국 사이버 해킹 갱단이 사실 굉장히 유사한 전략과 툴, 리소스를 사용하고 있는 것으로 드러났다. 같은 중국발이긴 해도 두 단체가 서로 리소스를 공유한다는 건 이전에는 없던 패턴으로 전문가들은 이를 국가 차원의 사이버 스파이 행위가 보다 조직적이고 유연하면서 능동적으로 진화한 것이라고 읽고 있다.

 


그러나 이런 변화는 자연스러운 것이라는 주장도 한쪽에서는 일고 있다. “비슷한 멀웨어, 비슷한 백엔드 인프라, 비슷한 소셜 엔지니어링 기술을 전부 사용하고 있습니다. 그러나 단지 도구만 같을 뿐 각 단체가 이루고자 하는 일과 목적은 전혀 다릅니다.” 파이어아이(FireEye)의 수석 연구가인 쏘피크 하크(Thoufique Haq)의 설명이다. “어쩌면 보다 큰 조직의 하위 부서일지도 모릅니다.”


이른바 모아피(Moafee)라고 불리는 해킹 갱단은 군사 및 정부 단체를 주로 노리고 드래곤오케이(DragonOK)라는 단체는 하이테크 생산 기지를 노린다. 전자는 주로 미국을 후자는 주로 일본과 대만을 타깃으로 한다. 또한 모아피는 광동 지방을 근거지로 삼고 있으며 드래곤오케이는 장쑤성 근방에서 활동한다.


두 단체의 공통점은 피싱 이메일의 사용 패턴이다. 둘 다 악성 첨부파일을 이메일에 넣고 있으며 이 첨부파일은 암호로 보호된 오피스 문서 혹은 Zip 압축 파일이다. 또한 눈속임 파일도 만들어 백엔드에서 멀웨어가 작동하고 있는 동안 사용자가 눈치 채지 못하도록 한다. 두 단체 모두 멀웨어를 숨길 때 실행을 완전히 멈추도록 하며 문서를 열 때 암호를 걸어놓아서 백신 엔진 등의 보안 툴들을 우회한다.


모아피와 드래곤오케이는 백도어 멀웨어를 활용하기도 한다. 여기에는 CT, NewCT, NewCT2, Mongall, Nflog, PoisonivY 등이 있다. 인기가 높은 HTRAN 프록시 툴을 사용해 C&C 서버의 위치에 혼란을 주기도 한다. “두 단체가 협업을 하고 있거나 굉장히 심한 경쟁을 하고 있는 것으로 보입니다. 어떻게든 연관이 있을 수밖에 없습니다.” 하크의 설명이다.


아직 이 두 단체의 성공률이나 정도를 밝혀내지는 못하고 있다. 이 두 단체에서 발생하는 공격을 죄다 파악할 수도 없을뿐더러 성공 여부를 판단할 정도로 완결된 공격뿐 아니라 아직도 진행 중인 게 많기 때문이다. 아직 대중에게 널리 알려진 이름은 아니지만 모아파니 드래곤오케이 모두 아는 사람들 사이에선 꽤나 악명 높은 이름이었는데도 말이다.


시큘러트(Seculert)의 CTO인 아비브 래프(Aviv Raff)는 공격자들이 서로 도구나 리소스를 공유하는 걸 본 적이 있다고 한다. “이런 해커들의 커뮤니케이션만을 전문으로 돕는 서비스도 있을 정도입니다. 하지만 중요한 건 해커들이 공모하고 있느냐 아니냐가 아니라 그들의 공격 동기입니다. 밝히기 어려운 건 매한가지긴 하지만요.”


에얼리언볼트(AlienVault)의 연구원들도 중국의 APT 공격자들이 똑같은 제로데이 엑스플로잇을 공유하고 있는 걸 목격한 바 있다. “중국에 어떤 공통의 공급 채널이 있는 것도 같았습니다. 혹은 대규모 단위의 정보 교류 시스템을 갖추고 있거나요.”


그렇다면 이번 모아피와 드래곤오케이의 ‘공유 상태’의 시사점은 무엇일까? “가장 놀라운 점은 아주 간단한 침투 테크닉을 사용한다는 것이었습니다. 중국 해커들에 대해 알려진바와 다르게 굉장히 케케묵은 방법을 사용하더군요. 이런 방법이 아직도 통하고 있다는 게 더 놀라운 일이라고 볼 수도 있습니다. 이건 방어하는 쪽의 책임도 물을 수 있을 정도라고 봅니다.”


한편 파이어아이는 모아피 및 드래곤오케이와 비슷한 방법과 도구를 쓰는 세 번째 그룹의 흔적을 발견한 것 같다는 소식을 추가로 발표했다. “세 단체 모두 중국의 경제 성장에 상당한 도움이 되고 있는 것으로 보입니다.” 하지만 이 세 번째 단체의 존재여부는 확실하지 않다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>