• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국의 VPN 업체인 테라코타, 해커와 손잡아 2015.08.05

VPN 서비스 업체, 알고 보니 비합법적인 조직

불법 침입 및 해킹으로 확보한 서버들의 네트워크가 주요 인프라


[보안뉴스 문가용] 중국어로 가상 사설망(VPN) 서비스를 제공하는 업체가 일반 사용자뿐만 아니라 악성 공격을 감행하려는 단체에게 방대한 서버 네트워크를 제공했다는 사실이 RSA 시큐리티(RSA Security)의 전문가들을 통해 드러났다. 공격자들은 가상 사설망을 통해 자신들의 공격 진원지를 숨길 수 있었다고 한다.

 


문제가 된 업체는 테라코타(Terracotta)로 전 세계에 약 1500개의 노드를 보유하고 있는 서비스 제공 업체다. 이번에 드러난 ‘테라코타 공격’에 당한 피해자는 포춘 500개 기업에 들어가는 호텔 체인, 하이테크 제조사, 법률 사무소, 의학기관, 학교, 대학, 미국의 지방정부 등이라고 한다. “이번 테라코타 사건의 피해자 대부분이 보안 부서를 따로 운영할 여유가 없는 작은 조직들입니다. 그러나 보안 인력을 충분히 고용할 규모가 되는 큰 회사들 역시 이번 공격을 성공적으로 방어하지는 못했습니다.”


테라코타가 겨냥한 피해자들은 크게 세 부류로 나눌 수 있다는 게 RSA의 피터 비어드모어(Peter Beardmore)의 설명이다. “첫 번째는 테라코타 서비스를 이용하는 고객들입니다. 테라코타가 합법적인 VPN 서비스 제공업체인 줄 알고, 또 합법적인 활동만 하는 줄 알고 순진하게 이 서비스를 이용한 것이죠. 두 번째는 테라코타가 직접 침투하고 뚫어낸, 혹은 그렇게 하는 데에 테라코타가 크게 이바지한 300개 정도의 기업들입니다. 그리고 마지막은 테라코타와 손을 잡았단 APT 단체가 원래 노리던 조직들입니다.”


해킹 단체는 테라코타의 VPN 서비스를 통해 공격을 감행했고, 그렇기 때문에 이들의 위치나 공격의 진원지를 찾아내는 게 불가능에 가까울 정도로 어려워졌다. 공격에 활용된 트래픽은 합법적인 IP 주소로부터 발생하는 것처럼 보이기 때문에 공격을 탐지하는 것조차 까다로워진다. 예를 들어 유명한 대학교에서부터 흘러오는 트래픽이라면 아무도 의심하지 않는데, 바로 이런 점을 노린 것이다.


이미 서방세계에도 잘 알려진 쉘크류(Shell_Crew)나 딥 팬더(Deep Panda)와 같은 해킹 단체가 이런 수법을 애용해온 것으로 드러났다. 특히 딥 팬더는 지난 2013년 미국 노동청을 공격한 혐의를 받고 있는 단체로 악명이 높다. 그러나 그렇다고 해서 현재 불거진 테라코타 공격에 딥 팬더가 개입했으리라는 결론을 쉽사리 내리기에는 무리가 있다. 상업적인 서비스이며 범죄 집단에게도 열려 있는 만큼 누구나 쉽게 접근할 수 있기 때문이다.


이처럼 서버나 자사의 서비스를 범죄자들에게 내주는 건 흔히 있는 일이다. 테라코타 사건이 신선한 건 그 ‘상업성’ 때문이다. “이전에는 범죄자들에게 서비스를 제공하더라도 은밀히, 유야무야, 마치 자기들이 당한 것처럼 위장하는 경우가 태반, 아니 거의 전부였습니다. 하지만 테라코타는 여러 가지 브랜드 이름으로 마케팅 활동을 해가면서, 마치 정상적인 기업인 것처럼 양지에서도 활동을 해왔죠. 이런 경우를 본 적이 없습니다.”


테라코타는 영리 단체이며 업체이지만 합법적인 기업은 아니다. 일단 테라코타는 자신들의 인프라를 구축하기 위해 다른 조직의 네트워크에 침투해 서버를 긁어모은다. 이미 테라코타 자신들이 해커들의 행위를 그대로 하고 있다는 것이다. “그러니 해커들 입장에서도 매력적인 서비스 혹은 단체일 수밖에 없습니다. 일단 이미 서버 마련을 테라코타가 해주었기 때문에 해킹 과정에 드는 비용이 줄어듭니다. 미국에서는 VPN 노드 사용료가 한 달에 기껏해야 5달러 수준입니다. 여기에 더해 통신료, 혹은 데이터값이 따로 들긴 합니다만 그리도 초기 공격에 들어가는 비용에 비하면 아무 것도 아니죠.”


그럼 테라코타는 어떻게 서버를 불법적으로 탈취했을까? 윈도우 서버가 설치된 시스템을 포착하면 브루트포스 공격으로 암호 및 인증 절차를 뚫는다. 그렇게 침투에 성공하면 방화벽 등을 포함, 여러 보안 전문 소프트웨어를 비활성화 시킨다. 그리고 원격에서 조정이 가능한 트로이 목마를 심는다. 그런 후 서버에 새 계정을 하나 만들어 윈도우 VPN 서비스까지도 설치한다. 아직 표적이 된 시스템을 어떻게 찾는지, 혹은 무엇을 기준으로 표적을 삼는지는 밝혀지지 않았다.


RSA는 미국에 있는 피해자들을 중심으로 위와 같은 사실을 알리고 서버들을 청소하도록 했다. 또한 이번 수사를 통해 드러난 악성 IP 주소와 도메인 이름들도 공개할 예정이라고 한다. “이로써 가장 안 중요해 보이는 트래픽, 서버들도 꼼꼼하게 관리해야 한다는 사실이 드러났습니다. 아무리 평소에 잘 한다고 해도 어쩔 수 없습니다. 깨끗이 산다고 평생 청소 한 번 하지 않고 살아도 되는 건 아닌 것처럼요. 봇넷, 좀비 컴퓨터 등 이미 해커들은 이렇게 ‘소외된’ 네트워크 자산을 활용할 줄 알게 되었습니다. 또한 그런 정보를 해커들끼리 사고팔 수도 있게 되었습니다. 우리는 부주의한데 저들은 부지런합니다. 그게 제일 무섭습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>