크라우드스트라이크, 집요한 방어로 허리케인 판다 후퇴시켜

동남아에서 10년 넘게 활동한 APT30도 후퇴시킬 수 있을까?

[보안뉴스 문가용] 국가에서 후원하고 있어 배경이 든든하고 작업 방식도 체계적이며 고급스럽기도 한데다가 목표의식도 분명한 해커 단체를 후퇴시킬 방법이라는 게 존재할까? 최근 크라우드스트라이크(CrowdStrike)의 보고서에 의하면 ‘그럴 수 있다.’ 이는 분명히 용기백배하게 해주는 소식임에는 틀림이 없다. 하지만 어제 파이어아이(FireEye)에서 밝힌, 동남아를 10년 넘게 지켜본 중국의 사이버 스파이 행위를 보면 ‘과연 현실은?’이란 의문이 들기도 한다.

먼저 크라우드스트라이크의 ‘용기백배’ 소식을 살펴보자. 지난 해 4월, 한 조직에서 크라우드스트라이크에게 방어를 의뢰했다. 그 조직은 허리케인 판다(Hurricane Panda)라는 중국 해커 그룹의 지속적인 공격을 받고 있었고, 크라우드스트라이크의 미션은 이들을 막는 것이었다. 사건에 개입하고서 두 달 후, 크라우드스트라이크는 허리케인 판다의 공격을 온전히 막아내고 그 흔적들을 전부 지워내는 데 성공할 수 있었다.

그러나 불과 몇 시간 후, 허리케인 판다의 재침입 시도가 이어졌다. “그 몇 분 동안 이어진 재침입 시도를 보면서 처음 딱 느낀 건 ‘끈적거린다’였습니다. 절대 포기하지 않을 것 같은 기분이 들었죠. 그리고 정말 계속해서 쳐들어왔습니다. 매일매일 이런 기록이 쌓여갔습니다.” 크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)의 설명이다.

들어오고 막고, 이런 공방이 4개월이나 계속됐다. 주로 사용한 방법은 차이나 차퍼(China Chopper)라는 웹쉘 공격이었다. 이는 70바이트짜리 텍스트 파일을 활용한 공격법으로, 이 작은 파일 하나로 해커들은 명령 실행과 파일 업로드 및 다운로드를 마음대로 할 수 있게 된다. 그리고 이를 통해 로그인 정보를 훔칠 수도 있게 되는 것이다. 크라우드스트라이크 역시 이를 감지하는 툴을 활용해 조금의 빈틈도 허락하지 않았고, 실제로 감염을 철저히 막을 수 있었다.

그렇게 4개월이 지나자 허리케인 판다는 방법을 바꿨다. 윈도우 커널에 있는 제로데이 취약점을 건드리기 시작한 것이다. “굉장히 드물고 굉장히 비싼 공격법”이라고, 알 사람만 아는 방법이라고 한다. 암시장에 1년 동안 겨우 한두 번 나올까 말까한 취약점이라고 한다. “이 공격을 하려면 수천에서 수만 달러가 기본으로 듭니다.”

처음엔 크라우드스트라이크도 뚫렸으나 결국 취약점을 발견하는 데에 성공했다. 그리고 MS에 해당 취약점에 대해 알렸고 MS는 이를 패치했다. 허리케인은 더 이상 이 공격으로 네트워크에 침입할 수가 없었고, 윈도우를 제때 패치한 모든 컴퓨터와 통신이 두절되는 사태에 이르렀다. 그게 10월쯤 일어난 일이었고 허리케인 판다는 그제야 공격을 멈추었다.

그리고 나서 12월, 또 다른 조직에서 크라우드스트라이크에 러브콜을 날렸다. 또 허리케인 판다였다. 한 달여의 시간이 비슷한 양상으로 흘러갔다. 크라우드스트라이크와 판다 사이의 치열한 공방이 이루어졌던 것이다. 허리케인 판다는 또 웹쉘을 사용했는데, 이번에는 목적이 조금 달랐다. 크라우드스트라이크가 메모리에 로딩된 적이 있는지를 감지하려는 것이었다. 그리고 크라우드스트라이크의 흔적이 발견되자 허리케인 판다는 미련 없이 자리를 떴다.

“이런 대단위 해킹 그룹이 작업을 포기한 건 처음 보는 일이었습니다.” 물론 이 두 가지 사건만 가지고 ‘트렌드’를 논하기에는 섣부르다. 다만 국가가 후원하는 대단위 해커 그룹도 뒤로 물러나게 할 수 있다는 첫 사례가 되었다는 것에 큰 의미가 있다고 크라우드스트라이크는 분석한다. 이는 다시 말해, 그들 역시 자원이 한정적이라는 것이고 그렇기 때문에 가격효율이 좋은 분석과 공격을 일삼는다는 것이다.

한편 파이어아이는 어제 APT30이란 해킹 단체의 10년 넘은 해킹 활동에 대해 보고했다. 이 APT30이란 단체는 자신들만의 멀웨어를 개발해 그걸 업데이트하고 관리하면서 10년 넘게 꾸준한 스파이 행위를 해왔다고 한다.  파이어아이의 젠 위든(Jen Weedon)은 “APT30의 프로정신이 실로 놀라웠다”라며 “한 지역에 긴 시간동안 집중해 일괄적이고 꾸준한 노력을 들일 수 있다는 것과 단 한 치의 흐트러짐도 없이 작전을 이어갔다는 것은 감동적이기까지 했다”고 소감을 밝혔다.

APT30은 사이버 스파이 행위를 목적으로 한 해킹 단체로 정부가 뒤를 봐주고 있음이 거의 확실히 되고 있다. 또한 주로 동남아 국가 및 사업체를 목표로 삼고 있으며, 10년도 넘는 기간 동안 활동해온 것으로 알려져 있다. 교대근무를 통해 감시를 하고 있으며 감시대상에 대한 모든 사항을 꼼꼼히 기록해 놓는데, 이는 마치 텔레마케팅 콜 센터를 방불케 한다.

APT30은 드로퍼, 다운로더, 백도어 등 여러 기능을 가진 툴들을 한 세트로 묶어서 사용하는데 특이한 건 그때 그때 이 툴을 새것으로 갈아치우는 게 아니라 꾸준하고 오랜 시간 공을 들여 패치하는 방식으로 완성시켜 나간다는 것이다. 그래서 현재 이들이 사용하는 툴에는 에어갭 네트워크 해킹 기능, 스텔스 모드 기능 등이 추가되어 있다. 사실 에어갭 네트워크 해킹에 대해서는 이미 상당히 오래전부터 기술력을 갖추고 있었다고 위든은 설명한다.

C&C 통신을 통해 APT30은 이 툴을 주기적으로 업데이트하며, 그렇기 때문에 넷상에서 활동하는 이들의 멀웨어는 언제나 가장 최신 버전이다. 마치 사업장을 운영하고 관리하는 듯한 이들의 프로페셔널리즘이 APT30의 성공 비결이라고 볼 수도 있으나, 이들이 노리는 지역인 동남아의 정보보안 수준이 낮은 것도 무시할 수 없는 요인이라고 전문가들은 분석한다.

그렇다면 이런 꾸준하고 성실한 단체도 허리케인 판다처럼 후퇴시킬 수 있을까? “결국 그 배경세력에 누가 있느냐를 정확하게 파악할 수 있어야 거기에 대한 답이 가능합니다. 그 배경이 얼마나 재정후원이 가능한지, 의도가 무엇인지, 얼마나 굳은 결의를 다지고 있는지를 다 알아야 하니까요.” 위든의 설명이다.

또한 APT30은 피싱 메시지 조작에도 능하다. 신뢰가 쌓인 관계 사이로 비집고 들어가 아주 그럴듯한 가짜 메일을 발송시키는 것에 일가견이 있다는 것이다. 또한 보고서에 의하면 APT30은 아주 멀리까지 내다본 공격을 지금부터 시작 혹은 유지하고 있다. “툴을 바꾸지 않고 업데이트를 고집한다는 것 자체가 이들의 장기적인 안목을 드러내는 거라고 봅니다. 그리고 그 툴의 상태가 매우 좋다는 것, 그 어떤 민간 소프트웨어보다 뛰어나다는 건 이들이 자신들의 장기 계획을 실행할 능력도 갖추고 있다는 걸 보여줍니다.”

위든은 APT30을 쫓고는 있지만 궁금한 마음과 기대하는 마음이 섞여 있다는 걸 부정할 수 없다고 한다. “이렇게 오랫동안 살아남은 해커 단체는 변화에 어떤 식으로 적응할지 지켜보고 싶습니다. 이렇게 보고서가 나왔으니 변화가 분명 있을 겁니다. 지금까지 운영해왔던 모든 멀웨어를 바꾸거나 인프라를 싹 없앨 수 있겠죠. 하지만 어찌됐던 저희는 APT30을 발견하고 지켜볼 겁니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>