Home > 전체기사
중국의 APT 단체 다섯 곳, 10여 년 동안 리눅스 서버 침해해
  |  입력 : 2020-04-09 18:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
브론즈 유니온, 패스CV, 캐스퍼, 오리지널 윈티...중국 정부와 계약 맺은 듯
각기 따로 활동하기도 하지만 중국 경제 발전에 도움 되는 캠페인에서는 협동


[보안뉴스 문가용 기자] 다섯 개의 중국 APT 단체가 10여 년 동안 여러 기업들로부터 지적재산을 훔쳐왔다는 사실이 공개됐다. 공격자들은 민감한 정보가 저장되는 백엔드 서버들을 주로 공략했는데, 특히 리눅스 기반 서버들에서 많은 피해가 발생했다고 한다. 이에 대해 보안 업체 블랙베리(BlackBerry)가 보고서를 통해 발표했다.

[이미지 = iclickart]


블랙베리의 수석 제품 아키텍트인 에릭 코넬리우스(Eric Cornelius)는 보고서를 통해 “이들이 지난 10년 동안 피해자 네트워크에 공격 기반을 마련해 두었기 때문에 재택 근무자가 늘어난 지금의 상황을 효과적으로 악용할 수 있게 되었다”고 강조했다.

“이미 공격에 활용할 수 있는 도구들이 기업 네트워크 곳곳에 배치되어 있습니다. 그런 상황에서 근무자들 대다수가 온프레미스 환경에서 빠져나갔단 말이죠. 지적재산은 여전히 회사 내에 있고요. 즉, 갑자기 경비병들이 줄어든 겁니다. 그들 입장에서는 10년 간의 노력이 빛을 본 것이라고 말할 수 있습니다.”

이번에 블랙베리를 통해 공개된 중국 APT 단체는 총 다섯 개로, 그 동안 각자의 목적을 추구하기 위해 활동을 해왔지만 협업의 흔적도 많다고 한다. 특히 지적재산을 훔쳐 경제적 이득을 추구한다는 맥락에 있어서는 유연하게 힘을 합하면서 미국 기업들을 공격했다. 블랙베리는 “중국 정부가 천명한 목표인 경제 성장을 위해서는 한 몸처럼 움직였다”고 말했다.

이처럼 다섯 개의 공격 단체가 한 가지 기치 아래 모였다 흩어졌다 하는데, 블랙베리는 이들이 하나로 뭉쳐서 움직일 때 ‘윈티(WINNTI)’라는 이름을 사용한다. 그리고 이 윈티라는 이름 아래 중국 정부와 계약을 맺은 민간 해킹 전문가 단체들이 서로 첩보와 노하우를 공유하면서 공동의 목표를 추구한다고 보고 있다. 다른 보안 업계는 특정 멀웨어를 ‘윈티’라고 부르기도 한다.

다섯 개 그룹 중 네 개는 이미 여러 보고서 등을 통해 다음과 같은 이름이 붙어 있는 상태다.
1) 브론즈 유니온(Bronze Union) : 에미서리 판다(Emissary Panda), APT27
2) 패스CV(PassCV)
3) 캐스퍼(Casper) : 리드(Lead)
4) 오리지널 윈티(WINNTI)

마지막 단체는 리눅스 해킹을 전문으로 하는 곳으로 블랙베리가 WLNXSPLINTER라고 부르며 추적하는 중이다. 이 다섯은 현재 공통의 리눅스 멀웨어를 사용 중에 있다. 코넬리우스에 따르면 이 공통의 리눅스 멀웨어는 커널 층위에서 실행되며, 백도어, 원격 접근 트로이목마, 다양한 행위를 하도록 만들어진 임플란트로 구성되어 있다고 한다.

현재 이 APT 단체들은 레드햇 엔터프라이즈(Red Hat Enterprise), 센트OS(CentOS), 우분투 리눅스(Ubuntu Linux) 환경을 전부 공격하는 중이다. “또한 지역별, 산업별 구분 없이 무차별적인 공격이 이뤄지고 있습니다. 리눅스 서버를 침해하는 데 성공하면, 그 서버를 거점 삼아 추가 침해를 계속해서 이뤄가고 있습니다. 그런 작업을 하면서도 전혀 들키지 않고 있고요.”

그러나 이들이 ‘닥치는 대로’ 공격을 한 건 아니었을 것이라고 추측된다. 리눅스 서버는 대단히 많은 데이터센터와 대형 IT 기업들에서 사용되고 있기 때문에 자칫 잘못했다간 경보가 울릴 것이기 때문이다.

게다가 클라우드 서비스 업체들 사이에서도 리눅스의 인기는 대단하다. “리눅스 기반 서버들은 대부분 늘 켜져 있고, 늘 접속이 가능한 상태를 유지하도록 설정되어 있습니다. 그래서 공격자들이 자주 노리는 것입니다. 그런데도 ‘리눅스 보안’에 대해서는 잘 모르는 사람들이 대다수입니다. 윈도우나 맥OS, 심지어 모바일 OS들보다도 관심이 떨어집니다. 이상적인 공격 표적이 아닐 수 없습니다.”

이 다섯 개 그룹들의 또 다른 공통점은 비디오 게임 기업들을 겨냥해 공격하고 있다는 것이다. “게임 기업들을 공격하는 가장 큰 이유는 코드 서명용 인증서들을 훔치기 위해서입니다. 이를 훔쳐내서 자신들의 멀웨어를 서명하는 데 사용하는 것이죠.” 최근에는 비슷한 목적을 달성하기 위해 애드웨어 개발자들도 침해하기 시작했다고 한다.

3줄 요약
1. 중국의 APT 단체 다섯 곳, 지난 10여년 동안 정보 탈취 공격 해옴.
2. 특히 리눅스 기반 서버들을 노렸는데, 재택 근무자 늘어나면서 공격이 활기를 띔.
3. 이 다섯 그룹은 리눅스 멀웨어를 공유하고 있으며, 공동으로 게임 업체 노려 인증서 탈취함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)