Home > 전체기사
파이어아이, 보복 해킹했다는 주장에 반박
  |  입력 : 2018-06-26 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
뉴욕타임즈 기자의 저서 중, “맨디언트가 중국 해킹하고 감시했다”
파이어아이, “보복 해킹은 회사 내에서 절대 받아들여지지 않는 가치”


[보안뉴스 문가용 기자] 뉴욕타임즈의 기자인 데이비드 생어(David Sanger)가 최근 써낸 책에는 사이버 보안 업체 맨디언트(Mandiant)가 APT1이라고 알려진 중국 사이버 스파이들의 장비를 역으로 해킹했다는 묘사가 나온다.

[이미지 = iclickart]


맨디언트는 현재 파이어아이(FireEye)라는 업체의 자회사로, 2013년 APT1에 대한 보고서를 발표한 바 있다. 당시 맨디언트는 파이어아이에 소속되기 전이고, 케빈 맨디아(Kevin Mandia)가 이끌고 있던 때였다. 당시 보고서는 APT1이라는 중국 군 소속 해킹 그룹이 얼마나 발전된 형태의 사이버 스파이 행위를 하고 있는지를 다루었다.

생어가 쓴 책의 이름은 “완벽한 무기 : 사이버 시대의 전쟁, 사보타쥬, 공포”다. 그는 책에서 “맨디언트가 해커들의 시스템을 역으로 해킹하는 걸 지켜봤다”고 쓰여 있다. 존스홉킨스대학의 전략학 교수인 토마스 리드(Thomas Rid) 교수는 이 책의 일부를 트위터에 다음과 같이 길게 발췌했다.

“맨디아가 이끄는 요원들과 이전 첩보 기관 근무 경험자들 및 사이버 전문가들은 다양한 방법을 동원해 자신들의 주장을 입증하여 했다. IP 주소를 추적해 중국 다통가의 고층 빌딩을 정확히 짚어내기는 힘들지 몰라도, 해킹이 시작된 방의 들여다 볼 수는 있었다. 중국의 해커들이 맨디언트 고객들의 개인 망에 침투하는 게 탐지되자마자 - 여기서 고객이라 함은 대부분 포춘 500대 기업이다 - 맨디아의 수사관들이 네트워크를 통해 이를 역 추적하기 시작했고, 해커의 랩톱에 달린 카메라를 활성화시켰다. 중국 해커들이 방에 앉아 어떤 키보드를 누르는지도 볼 수 있었다.”

“해커들은 거의 대부분 남성이었고, 20대 중반으로 보였다. 세계 여기저기서 볼 수 있는 그 나이 때의 흔한 젊은이들과 외관 상 큰 차이는 없었다. 상해 시간으로 8:30분쯤 출근해 스포츠 뉴스를 좀 훑어보다가, 여자친구에게 이메일이나 문자를 보내고, 가끔 포르노를 보곤 했다. 그러다 시계 종이 아홉시에 울리면, 기계적으로 세계 곳곳의 컴퓨터 시스템을 뚫고 들어갔다. 그렇게 점심 벨이 울릴 때까지 계속해서 키보드를 두드리는 게 그들의 오전 일상이었다.”

“하루는 맨디아의 팀 옆에 앉아 61938 해킹 부대가 작업하는 걸 지켜봤다. 놀라운 광경이었다. 예전에 내가 가지고 있던 인민해방군의 이미지란, 굉장히 나이 들고 고리타분한 장군들이 제복을 입고 모여 견장에 각을 주는 것이었다. 모택동과 과거 지도자들에 대한 찬양을 하며 시간을 보내는 것이 그들의 일상일 줄 알았다. 하지만 이 해커들은 가죽 재킷을 입거나 숫제 속옷 바람이었다.”

이에 파이어아이는 성명문을 발표했다. 먼저는 과거 생어에게 맨디언트가 APT1에 대한 증거를 모으는 과정과 방법에 대해 소개한 적이 있다는 걸 인정했다. (당시 APT1이 중국 군과 관련이 있다는 증거는 공개되지 않은 상황이었다.) 그러나 이 책에 나온 묘사가 “맨디언트(파이어아이)의 수사 과정과 기법을 심각하게 왜곡하고 있다”고 주장했다.

“파이어아이는 (중국 해커들의 작업실을 해킹해 염탐하는 행위를) 하지도 않고, 한 적도 없습니다. 맨디언트는 파이어아이에 합병되기 전에도 해커들의 랩톱에 있는 카메라에 접근하는 ‘보복 해킹’을 하지 않았습니다. 보복 해킹 행위는 저희의 사건 대응 매뉴얼에도 없는 개념이며, 저희가 지지하는 철학도 아닙니다.”

‘보복 해킹’이란 사이버 보안 업계에서 ‘사이버 공격을 받은 피해자가 공격자의 장비나 시스템을 해킹하는 것으로, 지지하는 의견과 반대하는 의견이 모두 존재하지만, 대체적으로는 환영 받고 있지 못하다.

파이어아이는 “생어가 본 것은 공격자들이 멀웨어의 C&C 서버와 교신하는 장면에 대한 영상 기록일 것”이라며 영상 하나를 공개하기도 했다. “비전문가가 이 영상을 어깨너머로 보게 된다면 라이브로 해커들을 모니터링 하는 것처럼 보일 수 있습니다. 하지만 맨디언트는 해킹을 통해 이 영상을 제작하지 않았습니다. 침해당한 고객사들을 합의 하에 모니터링하여 얻은 정보를 토대로 만들어진 것입니다.” 영상의 주소는 이것(https://www.youtube.com/watch?reload=9&v=6p7FqSav6Ho)이다.

보안 업계는 일부 파이어아이의 해명을 받아들이고 있다. 하지만 가죽 재킷이나 속옷 바람 등, 생어의 묘사가 어깨너머로 본 것치고는 너무 생생하다고 지적한다. 맨디언트에서 2011년부터 2017년까지 근무한 보안 전문가 리차드 베이틀리히(Richard Bejtlich)는 파이어아이의 발표에 대해 ‘믿을만하다’는 입장이다.

“제가 근무하는 동안은 물론 제가 회사를 나온 이후로도 ‘보복 해킹’이라는 것은 그 누구의 선택지에도 없던 것이 회사의 분위기였습니다. 아예 옵션 자체로서 성립하지 않는 개념이었던 것이죠. 사석에서조차 보복 해킹 이야기가 나오지 않을 정도로, 아예 관심이 없었습니다. APT1의 랩톱 카메라를 해킹하다니, 제가 아는 한 맨디언트나 파이어아이와는 어울리지 않습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)