Home > 전체기사
중국 APT 그룹, 안드로이드 구동 리눅스 서버 10년 간 침투했다
  |  입력 : 2020-04-20 18:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
블랙베리 보고서, 1,000건 이상이 관련된 지적 재산 노린 경제 스파이 활동에 대한 인사이트 제공

[보안뉴스 원병철 기자] 5개의 중국 APT그룹이 지난 10년간 리눅스 서버와 윈도우 시스템, 모바일 디바이스를 공격해온 것으로 조사됐다. 블랙베리(BlackBerry Limited)는 중국 정부를 위해 활동하는 5개의 연관된 지능형 지속 위협(Advanced Persistent Threat, 이하 APT) 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 전략적으로 공격하면서 어떻게 거의 10년 동안 발각되지 않을 수 있었는지에 대한 새로운 분석 보고서 ‘Decade of the RATs’를 공개했다.

▲블랙베리 보고서 ‘Decade of the RATs’[자료=블랙베리]


이번에 발표된 블랙베리 보고서 ‘Decade of the RATs’는 최근 미 법무부가 56개의 모든 FBI 현장 사무소에서 공개한 수사 중 1,000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동에 대한 인사이트를 제공하고 있다.

해당 공격 활동의 크로스 플랫폼 측면은 급격하게 늘어난 원격 근무로 인해 제기된 보안 문제에서도 특히 우려되는 부분이다. 지속적인 공격 캠페인에 사용된 장치는 재택근무 기간을 노리고 이미 심어져 있으며, 핵심 시스템의 보안을 유지하기 위해 줄어든 현장 인원은 위험을 더 악화시키는 결과를 초래한다. 또 코로나19(COVID-19) 발생에 대응해 인력 대부분이 재택근무를 실시했지만, 지적 재산 대부분은 리눅스로 구동되는 엔터프라이즈 데이터 센터에 여전히 남아 있다.

넷크래프트(Netcraft)와 리눅스 파운데이션(Linux Foundation)의 2019, 2020년 자료에 따르면, 리눅스는 상위 100만 개의 웹사이트를 거의 대부분 온라인으로 운영하고, 모든 웹 서버의 75%, 전 세계 슈퍼컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있다. 여기에 대부분의 대기업은 홈페이지를 운영하고, 네트워크 트래픽을 프록시하며, 중요한 데이터를 저장하는 데 리눅스를 사용하는 것으로 조사됐다. 보고서는 APT가 광범위한 대상에 ‘운영을 위한 교두보’를 구축하기 위해 리눅스 서버의 특성인 ‘항상 켜져 있고, 항상 접속이 가능한(always on, always available)’ 점을 어떻게 활용했는지 조사했다.

블랙베리 최고 제품 아키텍트 에릭 코넬리우스(Eric Cornelius)는 “대부분의 보안 업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중하기 때문에 일반적으로 사용자 대면이 아닌 리눅스에 대한 커버는 희박하다”며, “이러한 APT 그룹은 이런 보안 격차를 정조준하고, 타깃 영역의 지적 재산을 탈취하려는 이익을 위해 수년간 아무도 모르게 이 점을 악용해 왔다”고 밝혔다. 이 보고서의 다른 주요 분석 결과는 다음과 같다.

△이 보고서에 언급된 APT 그룹은 도구, 기술, 인프라 및 대상 정보를 다른 APT 그룹뿐만 아니라, 정부 기관과도 쉽게 공유하는 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있을 것으로 예상된다.

△APT 그룹은 일반적으로 각자의 목표를 추구하고 다양한 공격 타깃에 집중해 왔다. 하지만 리눅스 플랫폼을 타깃할 땐 이러한 그룹 사이에 상당한 수준의 조직적 움직임이 있었던 것으로 나타났다.

△이 보고서는 두 가지 안드로이드 멀웨어 사례를 다루며, APT 그룹이 모바일 멀웨어를 기존의 데스크톱 멀웨어와 결합해 크로스 플랫폼 감시 및 스파이 활동 캠페인에 활용하는 방법을 공개했던 블랙베리의 보고서 크로스 플랫폼 지능형 지속 위협(APT) 스파이 활동 캠페인에 퍼진 모바일 멀웨어 규모에서 나타났던 추세가 지속되고 있는 것을 확인했다.

△안드로이드 멀웨어 샘플 중 하나는 상용화된 침투 테스트 도구의 코드와 매우 흡사하지만 해당 상용 도구가 시중에 나오기 거의 2년 전에 이미 생성된 것으로 보인다.

△이 보고서는 애드웨어용 코드 서명 인증서 사용을 통해 네트워크 방어자를 우회하는 유명한 멀웨어의 새로운 변종 몇 가지를 공개한다. 공격자들이 희망하는 전술은 지속적인 애드웨어 경고 속에서 AV 레드 플래그가 그저 똑같은 알람 신호로 묵살되면서 감염율을 증가시키는 것이다.

△이 보고서는 공격자가 신뢰할 수 있는 네트워크 트래픽으로 보이는 명령제어(C2)와 데이터 유출 통신을 위해 클라우드 서비스 제공 업체를 이용하는 방향으로 전환한 점을 지목했다.

블랙베리 최고 정보보안 책임자 존 맥클러그(John McClurg)는 “이번 조사는 이전에 확인된 것보다 더 체계적인 모습으로 거대 조직의 네트워크 인프라 근간을 겨냥하는 스파이 활동을 잘 보여준다”며, “이 보고서는 중국 IP 탈취 이야기의 새로운 장을 열어 우리에게 새로운 교훈을 제공한다”고 덧붙였다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)