미국, 영국, 브라질, 프랑스, 독일 등...항공, 건설, 에너지, 금융 등 분야도 다양
중국 정부의 경제 드라이브 돕기 위한 활동을 APT 단체들이 지원...중앙 관리 체제?[보안뉴스 문가용 기자] 중국에서 활동하는 것으로 보이는 APT 단체가 최소 지난 2년 동안 전 세계의 여러 단체들을 겨냥해 스파이 공격을 진행한 것으로 보인다. 항공, 건설, 에너지, 금융, 의료, 운송 등 다양한 산업 내에서 피해자가 속출했는데, 이를 국가별로 따지면 미국, 영국, 브라질, 중국, 프랑스, 독일 등 10개 국 정도가 된다고 한다.
[이미지 = iclickart]
문제의 공격자들은 APT20이라고 알려진 단체로, 최근 보안 업체 NCC 그룹(NCC Group)이 이들의 최근 2년 간 행적에 대해 보고했다. “이 대대적인 캠페인을 진행한 것이 APT20이며, 그 배후에는 중국 정부가 있었다는 것에 대해 꽤나 큰 확신을 가지고 있습니다. 이들은 주로 여러 가지 정보를 수집하기 위해 공격을 실시한 것으로 보입니다.”
NCC 그룹의 분석에 의하면 APT20은 일단 취약한 웹 서버를 통해 피해자의 네트워크에 접근한다고 한다. 특히 제이보스(JBoss)의 특정 버전이 운영되는 서버가 주요 표적이라고 한다. 또 특징적인 건, APT20에 당한 피해자들은 과거에 다른 공격자들(APT20과 상관이 없는)에 이미 침해를 당한 적이 있다는 것이다. “웹 셸이 있는 서버들이 대부분이기도 합니다. APT20은 이 웹 셸들을 사용해 네트워크에서 횡적으로 움직입니다.”
물론 최초 침투를 위해 다른 전략을 사용하기도 한다. “가끔은 피싱 이메일이나 스피어 피싱 메일을 보내 피해자들을 꼬드기기도 하고, 공급망 공격을 하는 경우도 있었습니다. 심지어 휴대용 미디어 장비를 감염시켜 공격하기도 했었습니다.”
최초 침투에 성공한 이후 APT20은 다른 APT 단체들과 마찬가지로 제일 먼저 권한이 높은 계정의 크리덴셜을 수집하기 위한 활동을 시작한다. 높은 직책에 있는 사람이나 관리자 자격이 있는 사람이 여기에 포함된다. 그런 후 대담하게도 이 관리자 계정으로 직접 로그인 해서 일을 벌인다. 이 때 피해 단체가 사용하는 VPN 솔루션을 직접 사용하기도 한다.
“APT20은 자신들이 제작하거나 개조한 해킹 도구와 정상 서비스들을 다양하게 활용하는 모습을 보입니다. 설치된 소프트웨어에서 정보를 추출하고, C&C와의 연결을 시도하며, 악성 프로세스를 실행시키는 일을 합니다. 파일을 업로드도 하고, 명령 실행 웹 셸을 실행시키고, 백도어를 심기도 하고요. 정보를 빼내기 위해 여러 가지 방법을 동원합니다.”
그 외에 정상적인 도구와 서비스들을 악용하기도 한다. “파워셸, 명령행 인터페이스, 원격 서비스, 윈도우 관리 도구(WMI), 윈도우 관리 공유(Windows Admin Shares) 등이 주로 악용됩니다. 이렇게 피해자들의 시스템에 설치된 정상 도구들을 공격에 활용하는 수법은 거의 모든 공격에서 발견되는 특징입니다. 횡적으로 움직이든, 권한을 상승시키든, 최초로 접근하든, 지속성을 확보하든 말이죠.”
공격으로부터 비롯된 각종 데이터를 분석했을 때 APT20은 중국에서 활동하는 단체일 가능성이 높다고 한다. “중국 근로자들의 근무 시간대를 정확히 지키고 있습니다. 중국 시간대 기준으로 아침 8시부터 시작하고, 약 10시간 동안 일합니다. 주말에는 절대 활동하지 않기도 하고요.”
APT20은 정부를 도와 경제적 목적을 가지고 사이버전 행위를 하는 APT 단체들 중 하나다. 중국 정부는 2025년까지 경제를 부흥시킨다는 ‘메이드인 차이나 2025(Made in China 2025)’나 ‘일대일로’와 같은 대규모 사업을 진행 중에 있다. 중국의 APT 단체는 이런 시진핑 주석의 계획을 돕기 위해 여러 가지 산업 기밀을 세계 곳곳에서 훔쳐내는 활동을 해왔다.
예를 들어 중국이 최초로 구축하고 있는 상업 여행기인 C919의 경우, 세계 유명 비행기 제조사로부터 여러 정보를 훔쳐 만들어진 것으로 알려져 있다. 보안 업체 크라우드스트라이크(CrowdStrike)는 올해 “터빈 판다(Turbine Panda)라는 APT 단체가 우주항공 산업을 겨냥해 비행기 제작에 필요한 여러 정보를 훔쳐내고 있다”고 발표했다.
작년에는 또 다른 보안 업체 프로텍트와이즈(ProtectWise)가 일부 위협 단체들이 윈티(Winnti)라는 이름 아래 협조 체계를 이뤄가고 있다는 내용의 보고서를 발표한 바 있다. 이 윈티는 중국 정부가 운영하는 공식 정보 및 첩보 기관과 상당히 밀접한 연관을 맺고 있는 것으로 알려져 있다. 따라서 중국 정부가 독자적으로 활동하는 중국의 수많은 APT 단체를 모아 중앙에서 관리하기 시작했다는 주장이 나오기도 했다.
보안 업체 파이어아이(FireEye)에 의하면 중국 내 활동하는 APT 단체는 대략적으로 다음과 같이 정리된다.
1) APT12 : 정부 기관과 방산 업체를 주로 노림
2) APT10 : 건설 업체, 통신사, 엔지니어링 업체 등을 주로 노림
3) APT41 : 의료, 하이테크 등을 주로 노림
4) APT40 : 엔지니어링과 방산 업체를 주로 노림
3줄 요약
1. 중국의 APT 단체인 APT20, 2년 동안 10여개국 노리며 스파이 활동 벌임.
2. 중국 정부의 경제적 프로젝트를 도우려는 것이 가장 큰 목적일 듯.
3. 중국은 현재 사이버 공격자들을 규합해 나라의 경제를 일으키려고 하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85364&page=1&mkind=1&kind=1]
