의문의 APT 단체, 미얀마 정부 기관 공격 중에 있어

고급 기술을 활용하기도 하고 유치한 방식을 채용하기도 하고...정체 파악 어려워
허술한 영어와 미얀마 내 상황 등 고려했을 때 중국 APT일 가능성 높아 보여

[보안뉴스 문가용 기자] 동남아의 국가 미얀마의 정부 기관들이 APT 단체의 표적 공격을 받았다. 하지만 이 단체의 정체를 아직 밝히지 못하고 있는 상황이다. 공격에 사용된 악성 코드 내 문자열에서 발견된 킬섬원(KillSomeOne)과 같은 메시지나 공격 수법 등을 종합해서 봤을 때 ‘이중인격’을 가진 단체로 보인다는 것이 현재까지 나온 결론이다.

[이미지 = utoimage]

“공격자들이 사용한 멀웨어를 분석했을 때 ‘누군가를 죽여라’라는 메시지가 숨겨져 있었음을 발견할 수 있었습니다. 이건 아마추어 해커들이 흔히 하는 짓입니다. 하지만 표적 공격을 자유자재로 구사하는 것을 보면 해킹 실력이 최상위급에 속하는 APT 단체로 여겨지기도 합니다.” 보안 업체 소포스(Sophos)의 기술 담당인 가보 자파노스(Gabor Szappanos)의 설명이다.

자파노스가 자사 블로그를 통해 공개한 내용에 따르면 이 공격자들은 DLL 사이드로딩(DLL side-loading)이라는 기법을 주로 활용한다고 한다. DLL 사이드로딩은 2013년 중국의 해커들 사이에서 크게 유행했던 공격 기술이다. 간단히 말해 정상적으로 보이는 애플리케이션을 사용해 허술한 보안 장치들을 뚫어내어 악성 DLL을 로딩하는 기법이다. 쉬운 공격 기법은 아니다.

중국 해커의 느낌이 물씬 나는 가운데, 현재 미얀마에서는 화교 출신의 혁명군과 미얀마 정부군 사이에 긴장관계가 생기고 있어, 이 수수께끼의 APT 단체는 중국 출신일 확률이 높아 보인다고 한다.

공격자들이 현재 DLL 사이드로딩을 통해 유포하는 건 셸 페이로드 혹은 복잡한 구성의 멀웨어라고 한다. 공격자들은 셸 페이로드를 통해 피해자의 시스템에서 여러 가지 명령을 실시할 수 있게 된다. 보통은 악성 코드나 백도어를 심는데, 이 코드들에서 엉성한 영어로 작성된 문자열이 많이 발견된다. 엉성한 영어지만 정치적으로 치우쳐진 메시지들임은 분명히 알 수 있다고 소포스는 설명한다.

자파노스는 블로그를 통해 “공격들 대부분에서 공통점들이 많이 발견된다”며 “프로그램 데이터베이스 경로가 같다는 점이 특히 눈에 띈다”고 설명했다. “이 프로그램 데이터베이스 경로들은 전부 ‘킬섬원’이라는 문자열을 포함하고 있었습니다.” 그 외에 “너무 많은 것과 너무 적은 것 사이에 정착하는 것이 행복(Happiness is a way station between too much and too little)”이라든가 “안녕하십니까 미국 대통령(HELLO_USA_PRESIDENT)”와 같은 문자열도 발견됐다.

“표적 공격을 실시하면서 정치적 메시지를 퍼트리는 공격자들은 보통 다양한 면모를 가지고 있습니다. 실력적인 면에서부터 동기적인 면까지 다양한 사람과 단체들이 존재하죠. 어떤 사람은 고난이도 공격을 뚝딱 해버리고, 어떤 사람은 기초적인 해킹 기술만 조금 발휘합니다. 아마추어스러운 모습이 나타나는가 하면 전문가의 손길이 느껴지기도 한다는 겁니다.”

그렇다면 이번 공격은 어떤 걸까? “희한하게 이번 캠페인의 배후에 있는 자들은 아마추어도 아니고 고급 해커들도 아닌 듯합니다. 명확하게 어느 한쪽으로 결론을 내리기가 애매합니다. 기초적이고 유치한 면모를 보이다가도 어떤 때는 대단히 전문적인 코더의 실력을 드러내기도 하거든요.”

상황에 따라 APT 단체의 성격이 바뀌는 건 처음 있는 일이 아니다. 북한의 대표적 APT 그룹인 라자루스(Lazarus)의 경우 소니 엔터테인먼트(Sony Entertainment)를 2014년에 공격할 때는 정치적 동기를 가진 단체였지만 북한 정부에 대한 국제 제재가 장기화 되고 북한의 국고가 바닥나기 시작하자 암호화폐 거래소와 전 세계 중앙은행들을 노리는 사이버 범죄 단체로 변했다. 현재 라자루스는 전 세계 금융업계가 첫 손에 꼽는 위협 요소들 중 하나다.

이처럼 APT 단체가 갑자기 성격을 바꾸게 되면 ‘정체 파악’이 힘들어진다. 특히 발견 초기에는 골머리를 앓는다. 라자루스가 갑자기 금융권을 공격했을 때 ‘정말 라자루스가 맞는가?’라는 부분에서 혼란이 있었다. 정치적 공격을 하던 단체가 금융권을 공격하는 사례가 많이 없었기 때문이다. 이번에 발견된 APT 단체가 이전에 발견되지 않은 전혀 새로운 단체일지, 아니면 기존 단체가 성격을 바꾼 것인지 판단하려면 어느 정도 시간이 더 필요할 것으로 보인다.

APT 단체의 정체를 파악하는 건, 미래 공격을 예상하고 방어 시나리오를 갖추는 데에 있어 큰 도움이 된다.

3줄 요약
1. 현재 미얀마 내에서는 화교 출신들과 정부 간의 충돌이 있는 상황.
2. 그런 가운데 미얀마 정부를 겨냥한 APT 공격이 발견됨.
3. 공격자들은 고급 기술을 쓰기도 하고, 아마추어 같은 방식으로 메시지를 전달하기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)