Home > 전체기사

솔라윈즈 사태 이후, 공격자들은 한 순간도 멈추지 않았었다

  |  입력 : 2021-12-07 19:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈 사태가 발견되고 1년여가 된 시점이다. 공격자들은 세상을 놀라게 하고서는 계속해서 자신들의 할 일을 해왔다. 이 공격자들은 대단히 유연해, 온갖 기술과 전략을 다 발휘할 줄 안다. 앞으로도 형태 없이 어떤 조직을 노릴지 모르는 일이다.

[보안뉴스 문가용 기자] 전 세계 보안 업계에 충격을 주었던 솔라윈즈(SolarWinds) 공급망 공격이 발견된 지 1년이 지났다. 공격의 배후에 있는 것으로 보이는 러시아의 해킹 그룹은 그 동안 쉬지 않고 자신들의 할 일을 해온 것으로 보인다. 최근 이들이 각종 국제 조직과 정부 기관들을 공략해왔다는 사실이 또 다시 발견됐다.

[이미지 = utoimage]


공격자들을 지난 1년 동안 추적해 왔던 보안 업체 맨디언트(Mandiant)에 의하면 공격자들은 환경과 상황에 따라 유연하게 움직일 줄 알며, 새로운 전략과 기술, 과정을 활용할 줄도 안다고 한다. 그러면서 각종 정보를 수집한다고 한다. 이미 각종 클라우드 업체를 포함해 다양한 기업들을 공격하는 데 성공했으며, 지금도 계속 진화하는 중이라고 맨디언트는 강조했다.

맨디언트는 지난 1년 동안 공격자들이 진행된 캠페인을 크게 두 가지로 분류하고 있다. 둘 다 별도의 단체들이 진행한 것으로 보이는데, 솔라윈즈 공격자들과 관련이 있다는 공통점을 가지고 있었다. 현재 맨디언트는 이 단체들에 각각 UNC3004와 UNC2652라는 이름을 붙이고 있다. 참고로 솔라윈즈 공격자로 의심되는 단체는 UNC2452 혹은 노벨륨(Nobelium)이라고 불린다.

맨디언트의 사건 대응 책임자인 더그 빈스톡(Doug Bienstock)은 “이들이 큰 조직의 하위 팀들인지, 서로 동맹을 맺거나 협업 관계에 있는 팀들인지는 알 수 없지만 솔라윈즈 사태와 관련이 있다는 건 분명하다”고 말한다. 맨디언트에 의하면 이 세 그룹은 전부 러시아 정부가 이득을 볼 만한 선에서 공격을 실시하는데, 주요 표적은 NGO, 정부 기관, 러시아 관련 싱크탱크와 자문 조직들이라고 한다.

공격자들의 목적은 표적에 따라 조금씩 달라지는 양상을 보이기도 했다. 서비스 제공 업체의 네트워크에 접근하는 데 성공했을 때의 목표는 주로 권한 높은 계정의 크리덴셜을 노렸다. 그 다음에는 해당 서비스를 이용하는 고객들이 표적이 됐다. 그렇게 고객의 환경에 침투하는 데 성공한 다음, 공격자들은 러시아 정부가 관심을 가질만한 정보를 탐색하고 빼앗아 온다.

“대부분의 조직들에서 은밀한 정보는 이메일이나, 이메일과 비슷한 서비스인 셰어포인트(Sharepoint) 및 원드라이브(OneDrive)에 저장됩니다. 공격자들이 노리는 것도 그런 부분이고요. 주로 러시아와 관련된 주제들의 메일이나 파일들이 표적이 되었습니다.”

이번에 맨디언트가 공개한 캠페인들은 2021년 1사분기로까지 거슬러 올라간다. 그리고 솔라윈즈 사태 때 공격자들이 사용하던 방식과 상당 부분 닮아있다고 빈스톡은 설명한다. “이들은 피해 조직에서 발생하는 정상적인 행동과 트래픽을 흉내 내려고 상당히 고심했습니다. 이 때문에 추적과 공격자 규정이 쉽지 않습니다. 최근 여러 해커들 사이에서 이런 식의 ‘녹아들기’ 기술이 계속해서 연구되고 있는데, 이 공격자들도 이런 신기술을 빠르게 받아들이고 있습니다. 다만 MS 365가 공격의 가장 빈번한 표적이 되는 건 그대로입니다.”

추적이나 공격자 규정이 힘들다면 맨디언트는 어떻게 두 가지 그룹을 구분해서 추적하고 있는 걸까? “여느 해킹 조직과 비교했을 때 자신들의 흔적을 감추려는 노력과, 계속해서 전략과 도구를 추가하는 속도가 확연히 달랐습니다. 눈에 띄지 않을 수가 없을 정도였습니다. 한 번은 공격자들이 로컬 VPN 계정을 침해했고, 이를 통해 정찰을 감행하고 피해자의 내부 자원들에 들락날락 했습니다. 결국 내부 도메인 제어기를 장악하기까지 했고요. 또 다른 공격에서 해커들은 훔친 세션 토큰을 사용해 피해자의 MS 365 환경을 침해하기도 했습니다. 그리고 크립트봇(Cryptbot)라는 정보 탈취 멀웨어를 사용한 흔적도 나타났습니다. 전략이나 공격 목표라는 면에서 하나로 정해진 것이 없습니다.”

그 외에도 공격자들은 CSP 내 마이크로소프트 애저 AD 계정을 훔치거나, RDP를 활용해 시스템 내부를 휘젓고 다니기도 했다. 횡적으로 움직여 권한이 높은 계정을 침해하기도 했었고, SMB와 원격 WMI를 활용하기도 하고, 원격에서 임무를 새로이 등록시켜 악성 행위를 지속시키도 했다. 심지어 파워셸을 통해 명령을 실행시키는 기술도 선보였다.

자신들이 직접 개발하거나 커스터마이징한 멀웨어들도 발견됐다. 시로더(Ceeloader)는 이들이 만든 다운로더로, 셸코드 페이로드를 복호화시켜 메모리 내에서 실행시키는 기능을 가지고 있다. 시로더는 베이퍼레이지(VaporRage)라는 다운로더를 기반으로 만들어진 것으로 분석됐다. 빈스톡은 “시로더는 그 자체로 악성 기능을 완벽하게 해내지 못하므로 추가 멀웨어를 다운로드 받는 것이 보통”이라고 말한다.

맨디언트는 공격자가 피해자의 환경에 접근하기 위해 모바일과 레지덴셜 IP 주소 프록시 제공자들을 공격하기 시작했다고 경고하기도 했다. “보안 업체나 사건 조사자들은 피해 기업이 활동 및 거주하는 나라의 국내 ISP 업체들의 활동을 ‘정상’으로 간주합니다. 특히 피해자 조직 구성원 근처의 ISP 업체들의 트래픽은 거의 자동으로 ‘정상’으로 보게 됩니다. 공격자들이 이를 이용한 것이죠. 이들은 계속해서 정상적인 사업 행위로 발생하는 트래픽에 녹아들기 위해 노력할 겁니다.”

3줄 요약
1. 솔라윈즈 사태 일으켰던 조직들과 관련 있는 러시아 공격자들, 1년 동안 부지런히 활동.
2. 특히 러시아 정부와 관련이 있거나, 관련 정보를 다루는 조직들이 주요 공격 대상.
3. 다양한 전술과 전략, 기술을 활용할 줄 아는 극도의 유연성이 눈에 띔.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화