• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중국 APT 그룹, 동남아와 미국의 통신, 위성, 방산 업체 공격 2018.06.21

중국의 쓰립, 공격하기 어려운 통신과 위성 시설 침투해 정찰
아직 실제 파괴 행위는 없지만, 실력 크게 늘어난 것 확연히 보여

[보안뉴스 문가용 기자] 중국의 APT 그룹이 동남아와 미국을 겨냥해 대단위 사이버 공격일 실시하고 있다는 소식이다. 특히 위성, 통신, 국방 관련 단체들을 노리고 정찰 활동을 벌이고 있다고 한다. 보안 업체 시만텍(Symantec)이 이러한 행위를 고발했다.

[이미지 = iclickart]


시만텍에 의하면 공격의 주체자는 쓰립(Thrip)이라는 단체라고 한다. “이들의 공격 내용을 보면, 최근 들어 위성, 통신, 국방과 관련된 조직들의 운영 방식이나 상황을 궁금해하는 것이 분명합니다. 그저 파괴나 방해 행위를 하기 위한 것을 넘어선, 더 거대한 이유가 있는 것으로 보입니다.”

시만텍의 위협 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “쓰립은 현재 위성의 통신 및 통제 시스템에 설치된 소프트웨어에 관심을 기울이고 있다”고 설명한다. “동시에 특정 지역에 관한 사진 및 이미지 사업에도 관심을 보이고 있고요.”

이건 어떤 의미일까? “위성 채널을 통해 교환되는 데이터와, 그런 데이터 생성 및 교환을 가능하게 해주는 기술을 수집하고 있다는 뜻입니다. 아직까지는 수집 활동에 전념하고 있어서 그렇게 보이기도 하지만 추후에는 이러한 시스템들에 대한 사보타쥬 유형의 공격도 가능하다는 뜻입니다. 그 목적이 무엇이건, 위성 시스템에 외부인이 이 정도로까지 접근 성공했다는 것 자체만으로도 작은 일이 아닙니다.”

보안 업계에서 위성 통신 시스템에 존재하는 취약점에 대한 경고가 나온 것은 한두 번이 아니다. 4년 전 아이오액티브(IOActive)라는 보안 전문 업체는 지상 위성 장비에서 널리 발견되고 있는 펌웨어에서 치명적인 결함을 발견해 발표한 바 있다. 이 취약점을 공격자들이 악용할 경우 비행기, 선박, 산업 환경에서 일어나는 교신을 방해하는 게 가능해진다는 내용이었다.

하지만 디마지오는 쓰립 그룹이 이렇게 널리 알려진 취약점을 익스플로잇 한 건지는 확실하지 않다고 말한다. “정확히 어떤 방법으로 최초 감염을 성공시키는지는 정확히 알 수 없습니다. 아이오액티브의 4년 전 발표 자료와 상관이 있는지 없는지도 확실치 않습니다.”

시만텍이 쓰립을 추적한 건 2013년부터다. “이번에 발표한 위성 통신 시스템에 대한 공격은 2017년부터 시작된 것으로 보입니다. 동남아시아의 대형 통신 업체 네트워크 내에서 누군가 PsExec 툴을 사용해 횡적으로 움직이려는 시도를 발견해 조사하다가 쓰립이 이전에 사용하던 툴을 찾아냈습니다. 이 툴의 이름은 리카마누(Rikamanu)입니다. 추적을 이어가면서 중국 내에 위치한 컴퓨터 세 대가 연루되어 있음도 알게 됐습니다.”

시만텍이 쓰립을 처음 발견했을 때만 하더라도 “자체 제작한 멀웨어 툴을 주로 사용하고 있었다.” 그러나 시간이 지나면서 다양한 ‘정상 소프트웨어’와 관리자용 툴을 공격에 활용하는 쪽으로 선회했다고 시만텍 측은 설명한다. “최근 공격에서 쓰립은 PsExec라는 MS의 툴을 사용해 시스템 내 프로세스를 실행시키고 네트워크 내에서 횡적으로 움직였습니다. 또한 미미캣츠(Mimikatz)라는 툴도 사용해 권한을 상승시키기도 했습니다.”

쓰립의 이러한 공격 전략은 요즘 사이버전 부대나 일반 해커들 사이에서 말 그대로 ‘대유행’ 중이다. 정상적인 소프트웨어를 사용하기 때문에 탐지 장치에 잘 걸리지도 않고, 보안 전문가가 공격자를 추적하기도 쉽지 않다는 커다란 장점이 있기 때문이다. 누구나 합법적으로 사용할 수 있도록 만들어 놓은 소프트웨어이니 용의자가 좁혀지지 않는다.

“최근의 공격 단체들은 다양한 공격 기술을 갖추고 있습니다. 예전처럼 특정 그룹만이 사용하는 고유한 툴, 이런 개념이 없어요.” 보안 업체 포티넷(Fortinet)의 수석 보안 분석가인 안토니 지안도메니코(Anthony Giandomenico)의 설명이다. 포티넷 또한 별도로 쓰립 단체에 대한 보고서를 최근 발표한 바 있다. “합법적으로 사용가능하게 만들어진 소프트웨어를 사용하는 것이 현재 공격자들 사이에서 가장 사랑 받는 것입니다.”

그렇다고 쓰립이 고유의 멀웨어를 완전히 버린 것은 아니다. 위에 시만텍이 언급했다시피, 리카마누라는 툴을 사용하다가 걸리기도 했다. “리카마누는 정보 탈취 툴입니다. 그 다음 쓰립은 캐차마스(Catchamas)라는 툴을 사용하기도 했습니다. 리카마누보다 한 단계 업그레이드 된 툴이라고 볼 수 있습니다. 여기에 미시실(Mycicil)이라는 키로거와 신디카섹(Syndicasec)이라는 트로이목마도 있고요.”

디마지오는 “추적을 해오던 지난 5년 동안 쓰립이 급격하게 발전하는 걸 목격할 수 있었다”고 말한다. “물론 직접적인 사보타쥬 공격을 한 적은 없습니다. 하지만 요즘 이들이 정찰과 최초 감염에서 보여주는 기술력이 심상치 않습니다. 대형 통신사나 위성 업체, 방산 업체는 보안이 강력해서 침투하기가 어려운 곳인데, 이런 곳을 해킹해낸다는 것 자체가 그들의 실력을 입증하죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>