Home > 전체기사
서로 얼마나 싫어했으면 닮아가나...미국과 중국의 희한한 사연
  |  입력 : 2019-05-08 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
벅아이 혹은 APT3...미국 이퀘이젼 그룹의 공격 막다가 도구 알아내
공격자의 리스크는, 공격 와중에 스스로의 일부를 노출시킨다는 것


[보안뉴스 문가용 기자] 중국의 해킹 단체가 미국 첩보 기관이 사용하는 익스플로잇과 백도어에 접근하는 데 성공했다. 그런데 그 방법이 조금 색달라 해외 보안 커뮤니티에서 화제가 되고 있다. 이에 대해 보안 업체 시만텍(Symantec)이 조사해 보고서를 발표했다.

[이미지 = iclickart]


문제의 단체는 벅아이(Buckeye)라는 이름을 가졌으며, 중국 정부의 지원을 받고 있는 것으로 알려져 있다. 벅아이는 2016년, 그전까지 알려지지 않은 취약점을 공략하기 위한 익스플로잇을 사용했는데, 이전 셰도우 브로커스(Shadow Brokers)라는 해커가 훗날 유출시킨 이퀘이젼 그룹(Equation Group)의 툴셋에 포함되어 있던 것이었다. 셰도우 브루커스가 떠들썩하게 미국 첩보 기관의 해킹 툴을 공개하기도 전에 이미 벅아이가 사용하고 있었다는 것이다.

시만텍에 의하면 벅아이가 이미 이전부터 NSA(이퀘이젼 그룹은 NSA 소속인 것으로 알려져 있다)를 해킹한 것이 아니라고 한다. 공격을 시작한 건 벅아이를 추적하던 이퀘이젼 그룹이었고, 벅아이는 이를 보다 완벽히 막기 위해 공격 도구를 추적하고 리버스 엔지니어링하는 데 성공했다. 방어를 열심히 하다가 공격자의 툴을 확보하게 된, 희한한 경우다. 벅아이는 이 툴을 곧 다른 공격에 활용하기 시작했다.

시만텍의 기술 국장인 에릭 치엔(Eric Chien)은 “이퀘이젼 그룹의 툴을 벅아이가 연구를 통해 직접 만들어낼 수 있게 된 것이 그리 놀랄 일은 아니다”라고 말한다. “민간 보안 업체들도 충분히 할 수 있는 일이며, 실제 자주 하고 있는 작업이기 때문입니다. 물론 미국 첩보 기관이 아니라 사이버 범죄자들의 공격 도구를 분석한다는 차이점이 있긴 하지만요.”

치엔에 의하면 “보안 업체들이 거의 날마다 공격자들에 대한 정보를 발표할 수 있는 건, 이렇게 공격자들의 도구를 분석하고 조사하기 때문”이라고 한다. “사이버 공격이라는 행위가 적은 리스크를 수반한다고 생각하지만, 반드시 그런 건 아닙니다. 공격을 했을 때 사용한 도구와 수법 모두가 방어자들에게 정보가 되기 마련입니다. 그러다가 자기 툴을 이번에 드러난 것처럼 뺐기기도 하는 것이지요.”

그렇기 때문에 사이버전을 수행하는 정부 기관과 군은 이번 보고서를 주의 깊게 읽어야 한다고 치엔은 말한다. “공격을 한다는 건, 자신의 일부를 표적에게 드러낸다는 겁니다. 또한 공격의 기법을 새롭게 가르쳐주는 기회가 되기도 하죠. 벅아이가 셰도우 브로커스의 대대적인 해킹 툴 유출 이전부터 NSA의 해킹 툴을 사용할 수 있었다는 것이 이를 잘 드러냅니다.”

공격 코드를 리버스 엔지니어링할뿐만 아니라 그 코드를 직접 활용하는 것을 ‘리버싱(reversing)’ 혹은 ‘리롤링(re-rolling)’이라고 부른다. “여태까지 공개된 도구들의 버전을 비교해보면 셰도우 브로커스는 확실히 초기 버전을 훔쳐냈음을 알 수 있습니다. 하지만 이퀘이젼 그룹은 계속해서 툴을 수정해왔다는 것 또한 알 수 있습니다. 수정된 툴들로 벅아이를 공격했던 것이죠. 그리고 벅아이는 이에 따라 리롤링을 계속 해왔고요.”

벅아이가 자신들의 공격에 실제 사용했던 건 이터널로맨스(EternalRomance)와 이터널시너지(EternalSynergy)라는 익스플로잇 도구의 절반 정도에 해당하는 것이라고 한다. 이터널로맨스와 이터널시너지 모두 셰도우 브로커스의 유출을 통해 초기 버전이 완전히 공개된 바 있다. 둘 다 원격 공격을 통해 정보를 유출시키는 기능을 가지고 있다. “벅아이가 직접 만든 건 원격 공격 원리가 이터널로맨스 및 이터널시너지와 같고, 정보 유출 방법에서는 조금 차이를 보입니다.” 벅아이는 이퀘이젼 그룹의 또 다른 도구은 더블펄사(DoublePulsar)의 변종 역시 사용하기 시작했다고 시만텍은 밝혔다.

벅아이는 APT3라는 이름으로도 불리며, 중국 첩보 기관과 관련이 있다. 벅아이가 본 딴 도구의 원래 주인인 이퀘이젼 그룹은 NSA와 관련이 있다. 그리고 그 둘은 서로를 공격하고 방어하던 도구를 통해 점점 닮아가고 있다. 뭔가 우스꽝스러운 일이 사이버 공간에서 일어나고 있다.

3줄 요약
1. 중국의 첩보 기관 산하에 있는 해킹 그룹, 미국 첩보 기관 산하 해킹 그룹의 공격을 방어하다가...
2. 너무 열심히 방어하다 공격 도구를 본 딸 수 있게 됨. 그리고 실제 그 도구를 자신들의 공격에 활용함.
3. 나중에 셰도우 브로커스가 유출시킨 NSA 툴 확인해보니, 미국 툴과 중국 툴이 상당히 닮아있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)