Home > 전체기사

중국 정부가 지원하는 해킹 단체도 돈을 노리기 시작했다?

  |  입력 : 2021-01-06 16:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
코로나로 세상이 온통 긴장하던 지난 해 상반기, 중국의 해킹 단체는 공격의 방향성을 ‘정찰’ 혹은 ‘정보 수집’에서 ‘금전적 이득’으로 슬며시 바꾸었다. 그리고 정찰 대상으로 볼 수 없는 기업들을 표적으로 노골적인 ‘돈 벌기’ 공격을 실시했다. 이 때 사용된 전략은 랜섬웨어로, 역시나 노골적이다. 부자 나라 중국이 왜?

[보안뉴스 문가용 기자] 중국 정부가 지원하는 해킹 그룹이 다시 한 번 랜섬웨어를 활용하다가 적발됐다. 랜섬웨어로 ‘정찰’ 및 ‘첩보 수집’ 공격 대상으로는 보이지 않는 전 세계 기업들을 공략하고 있는데, 이는 곧 중국의 정부 지원 공격 단체가 금전적인 이득을 위해 움직이기 시작했다는 것을 뜻한다고 한다. 보안 업체 시큐리티 조스(Security Joes)와 프로페로(Profero)가 보고서를 발표했다.

[이미지 = utoimage]


두 업체에 따르면 중국 APT 그룹인 에미서리 판다(Emissary Panda)가 랜섬웨어 공격을 실시한 건 2020년 전반기의 일이라고 한다. 온라인 도박 사이트 최소 5군데가 표적이 됐다. 이런 곳들을 정찰해서 얻을 정보는 거의 없다. 프로페로의 CEO인 옴리 세게브(Omri Segev)는 “중국의 APT 단체들이 서서히 돈 버는 집단으로 둔갑하려는 것 같다”고 분석했다. 중국의 APT는 데이터 수집을 통해 자국 경제 발전을 돕는 것으로 그 동안 알려져 있었다.

“당시 중국 해커들의 움직임은 매우 노골적이었습니다. 큰돈이 오가는 도박 사이트를 노리고 공격했다는 점에서도 그렇고, 자신들의 흔적을 감춘다거나 일부 정보를 빼돌리려는 시도도 하지 않았습니다. 곧바로 진입해 핵심 요소들을 암호화 한 후 돈을 요구했습니다. 이들이 사용한 건 비트로커(Bitocker)라는 암호화 기술이었습니다.” 세게브의 설명이다.

물론 파일 암호화 공격이 국가 간 사이버전에서 활용되지 않은 것은 아니다. 이란 해커들은 사우디아라비아의 국영 석유 회사인 사우디 아람코(Saudi Aramco)를 공격했었다. 우크라이나 기업들을 괴롭혔던 낫페트야(NotPetya) 멀웨어도 러시아 공격자들이 사용한 것으로 알려져 있다. 북한 역시 세계 여러 기업들을 대상으로 랜섬웨어 공격을 실시한다는 소식이 나오기 시작했다. 따라서 이번 보고서에 언급된 공격의 동기가 100% ‘금전’이라고만은 확신하기 힘들다.

또한 세게브는 “중국의 해커들이라고 배후 세력을 지칭하긴 했지만, 그것이 중국 군 부대에 소속된 단체들인지, 정부와 계약을 맺고 활동하는 용병들인지는 아직 구분할 수 없다”고 덧붙였다. “물론 어느 쪽이라 해도 중국 정부와 관계가 있는 해커들인 건 맞습니다. 심지어 관여된 사람들 중 주요 인물들은 겹칠 수도 있습니다. 그러니 더 깊이 따지는 건 지금으로서는 의미가 거의 없다고 봅니다.”

사실 중국의 정찰 단체가 금전적인 목표를 가지고 공격을 실시한 건 이번이 처음이 아니다. 2020년 3월 보안 업체 파이어아이(FireEye)는 APT41이라는 공격 단체에 대한 방대한 분량의 보고서를 발표했었다. 그 보고서에는 APT41이 금전적인 이득을 보려하는 움직임을 보이기도 했다는 언급이 있었다. APT41은 VPN 클라이언트의 취약점을 익스플로잇 하며 약 20개국에서 피해를 일으켰는데, 중국과 러시아만은 무사했었다. 미국은 지난 9월 APT41에 소속된 것으로 보이는 구성원 5명을 해킹 범죄로 기소하기도 했었다.

이번에 보고서를 통해 적발된 에미서리 판다의 경우 APT27로도 불리는데, 비트로커를 사용했다는 점에서 APT41과는 다른 길을 걷고 있다. 비트로커는 대다수 윈도 장비들에 내재되어 있는 암호화 기술로, 주로 정상적으로 하드드라이브나 데이터를 암호화 하는 데에 사용된다. 윈도 비스타, 서버 2008, 7, 8, 10 버전에 존재한다.

“요즘 유행하는 메이즈(Maze)라 류크(Ryuk)를 다크웹에서 구매해 활용하지 않았다는 것이 꽤나 독특합니다. 그러면서 윈도 기본 기능이라고 볼 수 있는 비트로커를 활용했죠. 꽤나 공격 수준이 높습니다.” 세게브의 설명이다.

에미서리 판다는 제일 먼저 자신들이 노린 기업의 컴퓨터에 멀웨어를 심었다. 이 멀웨어는 다음과 같은 기능을 가지고 있다고 한다.
1) 시스템 정보 취합
2) 통신 프로토콜 변경
3) C&C 서버 호출
4) 추가 멀웨어 다운로드 및 실행

아직 세게브는 “왜 에미서리 판다가 갑자기 금전적인 목표를 위해 움직이기 시작했는지 정확히 알 수 없다”고 말한다. “북한의 경우야 정부가 매우 돈이 급한 상황이었으니 이해가 갑니다만, G2를 다투는 중국 정부가 해킹으로 돈을 벌기 시작했다는 게 도무지 무슨 의미를 갖는 건지 이해하기가 힘듭니다. 당분간 이 문제는 풀리지 않은 채 남아 있을 듯 합니다.”

게다가 이러한 공격 목적 변경은 코로나로 인한 긴장감이 최고조에 다다랐을 때 일어났다. “세상이 전부 문을 걸어 잠그고 밖으로 나오지 않았을 때 은근슬쩍 자신들의 공격 방향성을 바꾼 건데, 이 역시 이유를 추측하기가 힘듭니다. 어쩌면 돈이 목적이 아니라 온라인 도박 산업에 피해를 주는 것이 목적일 수도 있습니다. 아니면 추적이 불가능한 자금이 급하게 필요했을 수도 있고요. 이 부분은 조금 더 분석과 연구가 있어야 할 것입니다.”

3줄 요약
1. 중국의 공격 단체 에미서리 판다, 2020년 상반기에 온라인 도박 사이트 공격.
2. 공격에 사용된 것은 비트로커라는 암호화 기술. 즉, 랜섬웨어 공격을 실시한 것.
3. 북한이 돈 노리고 공격한 것은 이해 가능. 중국이 그러는 건 이해 불가.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비