Home > 전체기사
세계 통신사들 발판 삼아 특정 인물 정찰해온 캠페인 적발돼
  |  입력 : 2019-07-01 17:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전 세계 곳곳의 통신사들, 2017년부터 정찰 목적 공격의 통로돼
배후에 있을 법한 가장 유력한 나라는 중국...APT10의 흔적들 나타나


[보안뉴스 문가용 기자] 전 세계 여러 통신사들을 겨냥한 첩보 수집 캠페인이 발견됐다. 배후에는 국가 지원을 받는 공격자들이 있는 것으로 보인다. 이를 발견한 보안 업체 사이버리즌(Cybereason)에 의하면, 이 캠페인은 최소 2017년부터 시작된 것으로 보이나 일부 증거 자료들 중에는 2012년이라는 타임스탬프가 찍힌 것도 있다고 한다.

[이미지 = iclickart]


이 공격에 영향을 받은 것은 세계 여러 통신사들의 고객과 직원 수천만 명이다. “공격자들은 네트워크에 대한 통제권을 가지고 있었으며, 사실상 피해를 입은 통신사들 속에 숨어있는 또 하나의 네트워크 관리자와 같았다”라고 사이버리즌의 연구 조사 담당자인 아밋 서퍼(Amit Serper)가 설명한다.

공격은 먼저 한 개의 웹 페이지로부터 시작한다. 이 웹 페이지에는 공격자들이 설치한 악성 웹 셸이 호스팅 되어 있다. 표적이 된 피해자가 이 페이지에 접속하면, 정찰 공격이 시작된다. “피해자의 네트워크에 침투해 크리덴셜 덤핑이나 네트워크 스캐닝과 같은 작업을 실시합니다. 서버에서 서버로 옮겨다니면서요. 도메인 관리자 크리덴셜을 얻어내는 데 성공하면, 그걸 가지고 계정을 하나 새롭게 생성합니다. 그리고 스스로 관리자가 되는 것이죠.”

여기까지 일을 진행시키는 데 성공하면 공격자들은 자신들이 표적으로 삼은 통신사의 ‘숨은 관리자’가 된다. 그러면 먼저는 통화 세부 기록(CDR)을 먼저 검색한다. 전화를 건 사람과 받은 사람, 통화 시간에 대한 정보를 추출해낸다. 통화를 하는 데 사용했던 장비, 물리적 위치, 장비 제조사와 버전까지도 알아낼 수 있다.

이번 캠페인에서 공격자들은 통화 관련 데이터를 닥치는 대로 수집하지는 않았다. 노리고 있는 인물 몇몇의 정보만을 가져갔다. “공격에 들어간 자원은 꽤나 큰 것으로 보이는데, 공격을 받은 사람은 얼마 되지 않았다? 효율성에서 극악이죠. 즉 지원이 든든하다는 것이고, 국가 정부 기관을 생각할 수밖에 없습니다.” 보안 업체 트립와이어(Tripwire)의 전략 제품 관리자인 팀 얼린(Tim Erlin)의 설명이다.

특정 조직이나 인물을 노리기 위해 이런 식으로 일종의 공급망 공격을 실시하는 건 새로운 전략이라고 하기 힘들다. 하지만 보안 업체 사이버아크(CyberArk)의 사이버 연구 전략 책임자인 라비 라자로비츠(Lavi Lazarovitz)는 “앞으로 이런 식의 움직임이 더 자주, 공격적으로 일어날 것”으로 예측하고 있다. “자원과 기술이 충분하다면, 이렇게 탐지가 힘든 우회 공격을 실시하는 게 당연한 겁니다. 각 정부들은 이런 공격을 위한 기술력을 충분히 갖추고 있고요.”

이번 캠페인을 벌인 자들은 유연성이라는 측면에서도 놀라운 면을 보였다. “통신사 네트워크들에서 이러한 움직임들이 발견되었다는 걸 알아채자마자 공격 툴과 기법들을 바꾸기 시작했습니다. 자신들이 하던 정보 수집 행위는 그대로 유지하되, 한 번 발각된 방법은 새 것으로 금방 대체한 것입니다.”

서퍼의 경우, 염려되는 것이 따로 있다는 입장이다. “이 정도로 치밀하게 누군가를 염탐할 수 있었다는 건, 결국 통신망과 같은 사회 주요 인프라를 파괴할 능력도 갖추고 있다는 뜻입니다. 즉 이번 캠페인이 ‘정찰’을 목적으로 한 것이라 다행이었지, 파괴를 목적으로 한 것이었어도 통했을 거라는 겁니다. 아마 세계 곳곳에서 커다란 혼란 사태가 동시다발적으로 일어났겠죠. 어떤 정부는 지금 세계 여러 나라의 사회 안전 통제력을 손에 쥐고 있다는 뜻입니다.”

이렇게 무시무시한 능력을 갖춘 자들은 누구일까? 사이버리즌은 이 부분에 있어서 매우 조심스럽다. “확신할 수는 없지만 중국과 관련이 있는 것으로 보입니다. 그리고 공격을 실행한 단체는 APT10일 가능성이 높습니다. 하지만 APT10의 공격 툴 일부는 이미 널리 알려진 상태고, 오픈소스로 풀린 것도 있어 누군가 APT10에게 누명을 씌우고 싶었다면 충분히 할 수 있는 상황이기도 합니다.”

이런 종류의 공격을 막기 위해 일반 개인이나 기업 조직이 할 수 있는 획기적인 일은 거의 없다고 한다. “조직적인 방어라면 네트워크 가시성을 확보하고, 지속적으로 모니터링 하며, 망분리를 적용하는 것이 도움이 됩니다. 사실 이번 캠페인이 꽤나 고급 공격에 속한다고는 하지만, 통신사들이 1~2년이나 몰랐다는 것이 더 놀라운 사실이기도 합니다. 아무리 은밀했어도 기본 보안 수칙을 잘 지키고 있었다면, 그 사이에 알았어야 합니다.” 얼린의 의견이다.

라자로비츠는 공격자들이 횡적인 움직임을 자유롭게 할 수 있었다는 점도 지적한다. “데스크톱 컴퓨터에서 개인정보가 보관되어 있는 서버로 오갈 수 있었던 것은, 공격자들이 교묘했던 측면이 있는 것만큼 통신사 측에서도 허술한 면이 있었기 때문입니다. 이렇게까지 길게 이어지고, 많은 정보가 새나갈 정도의 공격은 분명히 아니었습니다.”

3줄 요약
1. 세계 여러 나라의 주요 통신사들, 최소 2017년부터 정찰 목적으로 악용되어 옴.
2. 특정 인물들 염탐하기 위해 통신사에 저장된 각종 통화 관련 기록들 수거해 감.
3. 가장 유력한 용의자는 중국 정부의 지원을 받고 있는 APT10.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)