세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
해킹그룹 APT3, 중국 국가안전부 하청업체였다
  |  입력 : 2017-05-19 16:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
APT3, '보유섹'이라는 민간회사 가장해 첩보 수행
중국정부, 민간 협업으로 백도어 설치해 감시하기도
서구 정부기관 감시하다가 이제는 홍콩 민주주의 감시


[보안뉴스 오다인 기자] 지난 2010년부터 수많은 서구 정부기관 및 군사 표적의 지적 재산 등 기밀 정보를 훔쳐온 것으로 추정되는 해커 그룹 APT3가 실제 중국 국가안전부(MSS: Ministry of State Security)의 하청업체인 것으로 드러났다.

[이미지=iclickart]


위협 첩보 회사 리코디드 퓨처(Recorded Future)는 APT3에 대해 최근 공개된 정보 등을 종합해 분석한 결과, 이 그룹이 중국 정부와 직접 연관돼있는 것이 거의 확실하다고 이번 주 발표했다. APT3의 임무는 중국 국가안전부를 위해 첩보를 수집하는 것으로 보이며, 지난 수년 간 일명 ‘보유섹(Boyusec)’으로 알려진 광저우 보유 정보기술 회사(Guangzhou Boyu Information Technology Company)로 가장해 임무를 수행해왔다고 리코디드 퓨처는 자사 블로그를 통해 밝혔다.

“중국 국가안전부의 사이버 활동은 예전부터 좀 기이한 느낌이 있었습니다. 민간인 첩보 조직인 동시에, 중국 인민해방군(3PLA)이 원래 움직이던 방식과 다르게 활동하기 때문입니다.” 리코디드 퓨처 연구원 사만다 디온(Samantha Dionne)은 말했다. 중국 국가안전부는 미국 국가안보국(NSA)에 해당하는 기관이다.

리코디드 퓨처는 다수의 사례를 통해, 중국 국가안전부가 민간인 첩보 작전을 수행하는 것과 동일한 방식으로 사이버 첩보 작전을 수행했다는 사실을 발견했다. 비첩보 기관들을 활용하고 기업들을 “사찰”함으로써 말이다.

“이건 중국 외 다른 지역에도 매우 중요한 문제입니다. 중국 국가안전부의 사이버 작전들이 겉으로 무관해 보이는 조직들을 통해 명확한 첩보 명분도 없이 수행된다는 것을 의미하기 때문입니다.” 디온은 “(이런 행태가 지속되면) 책임 소지를 찾는 게 더 어려워지고 침해 사건 발발 시 어떻게 대응할지도 더 복잡해지기 때문에” 문제라고 지적했다.

리코디드 퓨처는 이달 초 “인트루젼트루스(intrusiontruth)”라는 이름을 사용한 개인 혹은 그룹의 블로그를 확인한 뒤 APT3를 조사하기 시작했다. 이 블로그는 인트루젼트루스가 도메인 등록 정보를 통해 APT3가 사용한 명령제어(C&C) 인프라를 추적할 수 있었다고 언급했다. 리코디드 퓨처에 따르면, 인트루젼트루스는 APT3가 사용한 멀웨어 툴의 도메인과 보유섹의 두 주주가 사용한 툴의 도메인 사이에 오래전부터 연관성이 있었음을 기록할 수 있었다.

지난 수년 간 APT3를 추적해온 리코디드 퓨처는 자사가 APT3와 중국 국가안전부 사이의 관련성을 추가적으로 입증하는 데 성공했다고 발표했다.

일례로 리코디드 퓨처의 연구는 보유섹의 파트너 중 한 곳인 광동 정보기술 보안평가센터가 ‘CNITSEC’으로 불리는 중국 국가안전부 산하 기관에 귀속돼있다는 걸 밝혀냈다. 중국 국가안전부가 취약점 테스트와 소프트웨어 평가를 진행하기 위해 CNITSEC을 사용해온 사실이 공개된 정보를 통해 드러났다. 중국 정부는 이 같은 테스트를 통해 발견한 취약점들 일부를 사이버 첩보 작전에 사용해온 것으로 추정된다고 리코디드 퓨처는 설명했다.

화웨이(Huawei)도 연관됐다
보유섹이 또 다른 파트너사인 화웨이와 협업한 사실도 조사되고 있다. 지난 해 발간된 미국 펜타곤의 내부 조사 보고서는 이 두 회사가 백도어를 심은 보안 제품을 개발하기 위해 협업했다고 지적했으며, 이런 백도어로 컴퓨터와 네트워크를 제어하거나 감시하려고 했다고 리코디드 퓨처는 말했다.

디온은 “APT3는 적어도 지난 7년 동안 장기적이고, 끈질기고, 정교한 사이버 위협을 수행해왔다”고 말했다. 디온은 이 기간 동안 “APT3가 어떠한 처벌이나 제재도 없이 기업과 정부 네트워크를 의도적으로 침해해왔다”고 강조했다.

이어 디온은, APT3 공격을 받은 회사나 정부기관이 중국 국가안전부가 중국의 정치적, 경제적, 외교적, 군사적 목적이라는 더 큰 목표를 위해 일한다는 사실을 깨달을 필요가 있다고 짚었다. “저희는 APT3로 의심되는 공격의 신호들을 모두 재검토하라고 권고하고 있습니다. APT3의 침해로 어떤 위험과 손실이 있었는지 다시 한 번 확인하는 것이 필요합니다.”

APT3를 최초로 식별한 보안 전문업체 파이어아이(FireEye)의 최고 분석가 스콧 헨더슨(Scott Henderson)은 APT3가 중국 정부와 연관됐다는 리코디드 퓨처의 결론이 정확한 것이라고 말한다. 헨더슨은 이 연관성뿐 아니라, 보유섹이 중국 국가안전부와 연관된 것으로 추정되는 또 다른 조직, 광동 지방 정보보안 평가센터와도 관계가 있다고 말한다.

“이런 발전은 APT로 알려진 다른 그룹들의 진화과정과 닮았습니다. 국가적 해커들로 출발해 합법적인 지위를 얻고, 나중에는 정부 스폰서와 함께 일하는 정보 보안 하청업자가 되는 것입니다.” 헨더슨은 “(파이어아이가 추적한) 몇몇 중국 조직이 군사 첩보 조직보다 민간 첩보 기구와 더 끈끈하게 연결돼있을 것이라고 추측해왔다”고 밝혔다.

헨더슨은 APT3 그룹이 한때 중국에서 가장 활발히 활동한 단체 중 하나였지만 최근 다소 수그러들었다고 지적했다. 대부분 서구 조직들을 겨냥하던 것에서 APT3는 이제 홍콩의 민주주의 활동가 같은 특정한 공격 대상에 대해 작전을 펼치고 있는 것으로 보인다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)