세계 통신사들 발판 삼아 특정 인물 정찰해온 캠페인 적발돼

전 세계 곳곳의 통신사들, 2017년부터 정찰 목적 공격의 통로돼
배후에 있을 법한 가장 유력한 나라는 중국...APT10의 흔적들 나타나

[보안뉴스 문가용 기자] 전 세계 여러 통신사들을 겨냥한 첩보 수집 캠페인이 발견됐다. 배후에는 국가 지원을 받는 공격자들이 있는 것으로 보인다. 이를 발견한 보안 업체 사이버리즌(Cybereason)에 의하면, 이 캠페인은 최소 2017년부터 시작된 것으로 보이나 일부 증거 자료들 중에는 2012년이라는 타임스탬프가 찍힌 것도 있다고 한다.

[이미지 = iclickart]

이 공격에 영향을 받은 것은 세계 여러 통신사들의 고객과 직원 수천만 명이다. “공격자들은 네트워크에 대한 통제권을 가지고 있었으며, 사실상 피해를 입은 통신사들 속에 숨어있는 또 하나의 네트워크 관리자와 같았다”라고 사이버리즌의 연구 조사 담당자인 아밋 서퍼(Amit Serper)가 설명한다.

공격은 먼저 한 개의 웹 페이지로부터 시작한다. 이 웹 페이지에는 공격자들이 설치한 악성 웹 셸이 호스팅 되어 있다. 표적이 된 피해자가 이 페이지에 접속하면, 정찰 공격이 시작된다. “피해자의 네트워크에 침투해 크리덴셜 덤핑이나 네트워크 스캐닝과 같은 작업을 실시합니다. 서버에서 서버로 옮겨다니면서요. 도메인 관리자 크리덴셜을 얻어내는 데 성공하면, 그걸 가지고 계정을 하나 새롭게 생성합니다. 그리고 스스로 관리자가 되는 것이죠.”

여기까지 일을 진행시키는 데 성공하면 공격자들은 자신들이 표적으로 삼은 통신사의 ‘숨은 관리자’가 된다. 그러면 먼저는 통화 세부 기록(CDR)을 먼저 검색한다. 전화를 건 사람과 받은 사람, 통화 시간에 대한 정보를 추출해낸다. 통화를 하는 데 사용했던 장비, 물리적 위치, 장비 제조사와 버전까지도 알아낼 수 있다.

이번 캠페인에서 공격자들은 통화 관련 데이터를 닥치는 대로 수집하지는 않았다. 노리고 있는 인물 몇몇의 정보만을 가져갔다. “공격에 들어간 자원은 꽤나 큰 것으로 보이는데, 공격을 받은 사람은 얼마 되지 않았다? 효율성에서 극악이죠. 즉 지원이 든든하다는 것이고, 국가 정부 기관을 생각할 수밖에 없습니다.” 보안 업체 트립와이어(Tripwire)의 전략 제품 관리자인 팀 얼린(Tim Erlin)의 설명이다.

특정 조직이나 인물을 노리기 위해 이런 식으로 일종의 공급망 공격을 실시하는 건 새로운 전략이라고 하기 힘들다. 하지만 보안 업체 사이버아크(CyberArk)의 사이버 연구 전략 책임자인 라비 라자로비츠(Lavi Lazarovitz)는 “앞으로 이런 식의 움직임이 더 자주, 공격적으로 일어날 것”으로 예측하고 있다. “자원과 기술이 충분하다면, 이렇게 탐지가 힘든 우회 공격을 실시하는 게 당연한 겁니다. 각 정부들은 이런 공격을 위한 기술력을 충분히 갖추고 있고요.”

이번 캠페인을 벌인 자들은 유연성이라는 측면에서도 놀라운 면을 보였다. “통신사 네트워크들에서 이러한 움직임들이 발견되었다는 걸 알아채자마자 공격 툴과 기법들을 바꾸기 시작했습니다. 자신들이 하던 정보 수집 행위는 그대로 유지하되, 한 번 발각된 방법은 새 것으로 금방 대체한 것입니다.”

서퍼의 경우, 염려되는 것이 따로 있다는 입장이다. “이 정도로 치밀하게 누군가를 염탐할 수 있었다는 건, 결국 통신망과 같은 사회 주요 인프라를 파괴할 능력도 갖추고 있다는 뜻입니다. 즉 이번 캠페인이 ‘정찰’을 목적으로 한 것이라 다행이었지, 파괴를 목적으로 한 것이었어도 통했을 거라는 겁니다. 아마 세계 곳곳에서 커다란 혼란 사태가 동시다발적으로 일어났겠죠. 어떤 정부는 지금 세계 여러 나라의 사회 안전 통제력을 손에 쥐고 있다는 뜻입니다.”

이렇게 무시무시한 능력을 갖춘 자들은 누구일까? 사이버리즌은 이 부분에 있어서 매우 조심스럽다. “확신할 수는 없지만 중국과 관련이 있는 것으로 보입니다. 그리고 공격을 실행한 단체는 APT10일 가능성이 높습니다. 하지만 APT10의 공격 툴 일부는 이미 널리 알려진 상태고, 오픈소스로 풀린 것도 있어 누군가 APT10에게 누명을 씌우고 싶었다면 충분히 할 수 있는 상황이기도 합니다.”

이런 종류의 공격을 막기 위해 일반 개인이나 기업 조직이 할 수 있는 획기적인 일은 거의 없다고 한다. “조직적인 방어라면 네트워크 가시성을 확보하고, 지속적으로 모니터링 하며, 망분리를 적용하는 것이 도움이 됩니다. 사실 이번 캠페인이 꽤나 고급 공격에 속한다고는 하지만, 통신사들이 1~2년이나 몰랐다는 것이 더 놀라운 사실이기도 합니다. 아무리 은밀했어도 기본 보안 수칙을 잘 지키고 있었다면, 그 사이에 알았어야 합니다.” 얼린의 의견이다.

라자로비츠는 공격자들이 횡적인 움직임을 자유롭게 할 수 있었다는 점도 지적한다. “데스크톱 컴퓨터에서 개인정보가 보관되어 있는 서버로 오갈 수 있었던 것은, 공격자들이 교묘했던 측면이 있는 것만큼 통신사 측에서도 허술한 면이 있었기 때문입니다. 이렇게까지 길게 이어지고, 많은 정보가 새나갈 정도의 공격은 분명히 아니었습니다.”

3줄 요약
1. 세계 여러 나라의 주요 통신사들, 최소 2017년부터 정찰 목적으로 악용되어 옴.
2. 특정 인물들 염탐하기 위해 통신사에 저장된 각종 통화 관련 기록들 수거해 감.
3. 가장 유력한 용의자는 중국 정부의 지원을 받고 있는 APT10.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)