Home > 전체기사

미국과 EU가 인권 침해 국가로 부른 중국, 위구르족 겨냥해 표적 공격 중

  |  입력 : 2021-03-25 14:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국의 해커들이 페이스북 플랫폼을 통해 위구르족과 관련된 주요 인물들 500여 명을 염탐하고 있었다고 페이스북이 밝혔다. 중국의 위구르족 탄압은 국제 사회에 널리 알려진 것으로, 최근 미국과 유럽이 이를 공식적으로 비판하기도 했다.

[보안뉴스 문가용 기자] 페이스북이 자사 플랫폼에서 진행된 장기 캠페인의 실체를 오늘 공개했다. 중국 해커들이 위구르족을 염탐하고 정보를 훔치기 위해 실시한 것이라고 한다. 공격자들은 가짜 페이스북 계정들을 만들고, 주요 인물 및 단체들에 접근한 뒤 악성 사이트로 연결되는 링크를 유포해 피해자들이 멀웨어를 다운로드 받도록 유도했다. 미국, 터키, 카자크스탄, 시리아, 호주, 캐나다 등 해외에 거주 중인 위구르족들 사이에서 피해가 많이 발생했다.

[이미지 = utoimage]


해당 내용을 담은 보고서는 미국과 유럽연합이 중국을 “심각한 인권 침해 국가”로 지칭한 시기와 맞물려서 발표됐다. 중국은 신장지구 내 위구르족을 캠프에 강제로 가둬놓고 있지만, 외부에는 “취업 훈련용 캠프”라고 홍보하고 있다. 캠프 내에서 자행되고 있는 각종 인권 유린 행위들이 드론 촬영 등의 방법으로 공개되기도 했었다.

페이스북이 발표한 캠페인은 2019년부터 시작된 것으로 보이며, 약 500명에게 피해를 입혔다고 한다. 이는 페이스북이라는 플랫폼과 관련된 부분만을 봤을 때의 이야기고, 캠페인 전체 피해 규모는 아직 공개되지 않고 있다. 페이스북의 보안 정책 책임자인 나다니엘 글레이처(Nathaniel Gleicher)에 의하면 페이스북과 관련이 없는 공격 행위가 훨씬 더 많았다고 한다.

“공격자들은 위구르족과 터키의 뉴스 웹사이트와 똑같은 사이트와 도메인을 만들고, 이리로 피해자들을 유인했습니다. 그 외에도 위구르족들이 자주 드나드는 사이트들을 여러 개 침해하기도 했습니다. 그런 후 워터링홀 공격을 실시했죠. 이런 가짜 및 침해 사이트들에는 악성 코드가 심겨져 있었고, 피해자들이 접속할 경우 발동됐습니다. 특히 인솜니아(Insomnia)라는 iOS용 멀웨어가 주로 활용된 것으로 분석됐습니다.” 페이스북 측의 설명이다.

피해자들을 이러한 악성 페이지들로 유인하기 위해서 페이스북 계정을 가짜로 만들었다. 그리고 기자, 학생, 인권 운동가 등으로 위장해 활동했다. 위구르에 친화적인 척 했고, 위구르족의 페이스북 커뮤니티와 주요 인물들에 접근했다. 그렇게 관계를 형성하고 신뢰를 서서히 쌓아가다가 슬쩍 악성 페이지로 연결되는 링크를 건네줌으로써 피해자들을 감염시켰다.

피해자들 중 특정 IP 주소, OS, 브라우저, 지역, 언어 설정이 공격자들이 원하는 것과 일치할 경우 공격자들은 iOS용 멀웨어만을 사용했다. 이는 자신들의 활동을 보다 은밀히 하기 위함이라고 페이스북의 조사 담당자인 마이크 드빌얀스키(Mike Dvilyanski)는 설명한다. “이 캠페인은 정밀한 표적 공격으로 구성되어 있습니다. 따라서 은밀할 필요가 있었습니다.”

조사를 이어가던 페이스북은 서드파티 안드로이드 앱 스토어로 위장된 웹사이트도 발견했다. 공격자들은 여기에 가짜 앱들을 심어놓고 표적들이 접속하기를 기다리기도 했다. 앱들은 대부분 위구르족들이 흥미나 필요를 느낄만한 것들이었다. 가짜 앱들에는 액션스파이(ActionSpy)나 플러그인팬텀(PluginPhantom)과 같은 안드로이드용 멀웨어들이 내포되어 있었다.

이 안드로이드 앱들 중 일부의 개발사로 등록된 회사가 두 곳 있었다. 베이징 베스트 유나이티드 테크놀로지(Beijing Best United Technology)와 달리안 나인러시 테크놀로지(Dalian 9Rush Technology)였다. 이를 찾아낸 건 보안 업체 파이어아이(FireEye)라고 페이스북은 밝혔다.

파이어아이의 위협 첩보 부문 수석인 벤 리드(Ben Read)는 “개인정보를 훔쳐내는 것을 주 목적으로 하는 가짜 앱들이 발견됐고, 대부분 위구르족들과 일부 중국어 구사자들을 목표로 삼아 개발되고 운영된 것으로 분석됐다”고 밝혔다. 공격자들은 피해자로부터 GPS 위치, 문자 메시지, 연락처, 스크린샷, 오디오, 키스트로크와 같은 정보를 훔쳐간 것으로 보인다.

페이스북은 중국 정부가 배후에 있다는 뉘앙스를 풍기고는 있지만, 그러한 내용을 정확히 꼬집어 말하지는 않고 있다. 아직 배후 세력을 지목할 만큼 정확한 정보가 모이지 않았기 때문이다. 하지만 공격 단체가 어스 엠퓨사(Earth Empusa), 이블아이(Evil Eye), 포이즌카프(PoisonCarp)라고 지목했다. 특히 어스 엠퓨사와 이블아이의 경우, 과거 발견된 공격 패턴이 이번 캠페인과 가장 유사하다고 한다. 포이즌카프와도 어느 정도 유사성이 발견되고 있기는 하다.

페이스북은 자사 플랫폼으로부터 이번에 발견된 악성 웹사이트들로 곧바로 연결되지 못하도록 조치를 취했다. 또한 공격자들이 활용한 것으로 보이는 가짜 계정들도 전부 삭제했다. 뿐만 아니라 피해를 입은 것으로 추정되는 개개인들에게도 연락을 취한 상태라고 한다. “현재 이 캠페인과 관련된 행위는 어느 정도 줄어든 상태입니다. 이쪽에서 조치를 취하고 있다는 걸 알고 잠시 휴식기를 갖는 듯 합니다. 하지만 위구르족과 중국 정부의 관계를 생각했을 때 이 캠페인은 조만간 다시 시작될 것으로 보입니다.”

3줄 요약
1. 중국 해킹 단체, 위구르족 관련 인물과 단체 겨냥해 표적 공격 실시.
2. 가짜 페이스북 계정을 통해 표적과 신뢰를 쌓고, 악성 페이지로 연결되는 링크를 건넴.
3. 이런 식으로 약 500명의 위구르족 관련 인물들로부터 각종 정보 캐냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)