정부 도움 없이 순수 사기업들만의 힘만으로 이룬 성과

[보안뉴스 문가용] 보안 전문 업체들이 힘을 합해 중국의 해킹 단체에 큰 한 방을 먹인 것이 회자되고 있다. 이 공격 과정은 노베타(Novetta)가 어제 발표한 보고서에 상세히 나와 있다. 이번 협업은 SMN 작전이라고 명명되었으며 전 세계 4만 3천 여대의 컴퓨터에서 중국의 해킹 단체인 액시엄(Axiom)이 뿌린 악성코드를 깨끗하게 지워내는 데에 성공했다. 또한 숙주인 액시엄에 대해 굉장히 많은 정보를 파악할 수 있었다.

이번 작전에 참가한 기업은 보고서를 작성한 노베타 외에 비트나인(Bit9), 시스코, 파이어아이, 에프시큐어(F-Secure), 아이사이트 파트너즈(iSIGHT Partners), 마이크로소프트, 테너블(Tenable), 쓰레트커넥트 인텔리전스 리서치 팀(ThreatConnect Intelligence Research Team), 쓰레트트랙 시큐리티(Threat Track Security), 볼렉시티(Volexity) 등과 그밖에 이름을 밝히지 않은 단체들이다. 마이크로소프트가 액시엄이 주로 활용하는 하이킷(Hikit) 멀웨어에 대항하기 위해 주도한 공동 멀웨어 박멸(CME, Coordinated Malware Eradication) 캠페인에 참여하기 위해 모인 기업들이기도 하다.

노베타가 하이킷을 본격적으로 수사하기 시작한 건 올해 여름부터다. 그런 와중에 마이크로소프트에서 보안 업체들에게 멀웨어를 박멸하기 위해 정보와 툴을 한 번 모아보자고 하니 노베타의 수석기술책임자인 안드레 루드윅(Andre Ludwig)은 자연스럽게 “모인 김에 박멸을 해보자”고 제안할 수 있었다.

그러나 그게 말처럼 쉽지는 않았다. 일단 액시엄이 활용하는 멀웨어가 하이킷만이 아니었다. 데루스비(Derusbi), 데퓨티 독(Deputy Dog), 하이드라크(Hydraq) 등 정보를 모아보니 오히려 문제가 더 커졌다. 그래서 업체를 더 불러모았다. “이왕 하는 김에 말끔하게 청소해보자고 합의를 본 것이죠.” 그리고 그 모든 걸 10월 14일에 발표된 마이크로소프트 악성 소프트웨어 제거 툴에 포함시켰고, 멀웨어를 지워내는 데에 성공했다. 또한 여러 단계를 통해 액시엄에 대해 많은 것을 파악할 수 있었다.

하지만 아무도 액시엄 자체가 완전히 소탕된 것이라고 생각하지는 않는다. 노베타는 “액시엄은 고도로 훈련된 조직으로 중국 정부가 뒤를 봐주고 있기 때문에 자원마저 풍부합니다. 그런 조건이 맞아떨어졌기 때문에 2010년의 오로라 작전과 2012년의 보호(VOHO) 캠페인을 벌일 수 있었던 것이다. 그뿐 아니라 액시엄은 정부의 지시를 받아 대단히 민감한 정보를 주로 훔쳐내고 있는 것으로 노베타는 보고하고 있다.

“액시엄의 흔적이 발견된 곳은 전략적으로 경제 활동을 벌이는 조직, 환경과 에너지 정책에 강력한 영향력을 행사하는 조직, 최첨단 정보 기술을 개발하는 조직, 텔레커뮤니케이션 장비를 생산하는 조직, 인프라 공급자에서였습니다.” 액시엄이 굉장히 많은 대상을 공격해온 건 아닌 듯이 보인다. 하지만 이들이 모은 정보는 꽤나 광범위하고 넓이나 깊이에서 타 그룹의 추종을 불허하고 있다.

액시엄의 가장 큰 장점은 자신들의 전략에 가장 잘 부합하는 대상을 정확히 판별해 빠르게 접근하는 능력이다. 보고서에 따르면 액시엄은 자신이 뿌린 멀웨어에 감염된 방대한 수의 시스템을 빠르게 뒤져서 가장 높은 이득을 취할 수 있는 곳을 선정하고 수 시간 혹은 단 며칠 만에 노린 곳으로 들어가 접근 권한을 높인다거나 환경 조정을 위한 쉘 유틸리티를 만든다던가 하는 조치를 취한다.

또한 액시엄이 노리는 단체나 기업들은 서로 어느 정도 관계를 유지하고 있다. 액시엄은 그 점 또한 잘 파고드는 것으로 악명이 높다. 루드윅에 따르면 하이킷이 시스템에 한 번 침투하기만 하면 ‘작은 네트워크’를 만들어 다른 하이킷과 서로서로 연결하는데, 이는 조직 바깥에 있는 시스템도 포함한다. 그리고 연결된 시스템을 프록시처럼 활용해 C&C 서버와 절대 직접 통신하는 일이 없다고 한다. 게다가 보통은 서로 ‘관계가 있는’ 업체 및 조직들 간의 ‘작은 네트워크’이므로 의심받는 일도 극히 드물다.

액시엄은 자신의 흔적을 감추는 데에 아주 영리하기도 하다고 보고서는 밝히고 있다. 공격을 여러 작은 단계로 나눠 실행하는데, 단계별로 다중의 분리된 네트워크 및 인프라를 활용하는 것이 드러난 것이다.

가장 놀라운 건 액시엄의 공격방식이 짜임새 있다는 것이다. 그것도 아주 정밀화된 짜임새다. 액시엄에 속해 있는 조직원 각자는 하이킷 유지 스케줄을 명확하게 계획해 실행함으로써 멀웨어를 시스템 내에서 계속 살아있게 했고, 침입한 시스템이나 환경에 어떠한 작은 변화라도 빠르게 검토할 수 있었다. 또한 의심스러운 행동을 극도로 자제해 발각되는 경우를 최소화했다. 이런 행동 패턴이 어찌나 치밀한지 보고서의 표현에 따르면 “포렌식 및 디지털 수사의 기본 원리를 대단히 높은 수준에서 이해하고 있는 듯”해 보이기도 한다.

액시엄이 아직 완전히 소탕된 것도 아니고 중국 정부가 크게 움찔한 것도 아니라는 측면에서 이번 연합이 큰 실효를 거두지 못한 것이라고 평할 수도 있다. 게임오버 제우스의 경우처럼 분명히 짧은 시간 내에 액시엄의 흔적이 스멀스멀 기어 올라올 것이다. 하지만 이번 사건이 그때와 다른 것이 있다면 정부나 법 집행 기관의 참여가 전혀 없는, 순수 사기업만의 연합으로만 이루어낸 성과라는 것이다.

때문에 어지간하면 정부를 끼고 뭔가를 하려고 하는 기업들의 성향을 환기시키는 계기가 될 수 있다. 사실 정부들도 아직 빈번한 사이버 공격에 대해 명확히 이해하지 못하고 있고, 분명한 지침이란 건 없다고 봐도 무방한 때다. 루드윅은 “참여한 기업들은 마치 돈을 버는 사업을 하듯 적극 이번 프로젝트에 동참했으며, 혹여 정보 공유로 불이익을 당하지 않을까 움츠려드는 경우는 한 번도 없었다”며 “앞으로 이런 정서가 보안 시장의 기본바탕이 될 수 있어야 하겠다”며 말을 맺었다.

보고서 원문은 여기서 다운로드가 가능하다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>