벅아이 혹은 APT3...미국 이퀘이젼 그룹의 공격 막다가 도구 알아내
공격자의 리스크는, 공격 와중에 스스로의 일부를 노출시킨다는 것
[보안뉴스 문가용 기자] 중국의 해킹 단체가 미국 첩보 기관이 사용하는 익스플로잇과 백도어에 접근하는 데 성공했다. 그런데 그 방법이 조금 색달라 해외 보안 커뮤니티에서 화제가 되고 있다. 이에 대해 보안 업체 시만텍(Symantec)이 조사해 보고서를 발표했다.
문제의 단체는 벅아이(Buckeye)라는 이름을 가졌으며, 중국 정부의 지원을 받고 있는 것으로 알려져 있다. 벅아이는 2016년, 그전까지 알려지지 않은 취약점을 공략하기 위한 익스플로잇을 사용했는데, 이전 셰도우 브로커스(Shadow Brokers)라는 해커가 훗날 유출시킨 이퀘이젼 그룹(Equation Group)의 툴셋에 포함되어 있던 것이었다. 셰도우 브루커스가 떠들썩하게 미국 첩보 기관의 해킹 툴을 공개하기도 전에 이미 벅아이가 사용하고 있었다는 것이다.
시만텍에 의하면 벅아이가 이미 이전부터 NSA(이퀘이젼 그룹은 NSA 소속인 것으로 알려져 있다)를 해킹한 것이 아니라고 한다. 공격을 시작한 건 벅아이를 추적하던 이퀘이젼 그룹이었고, 벅아이는 이를 보다 완벽히 막기 위해 공격 도구를 추적하고 리버스 엔지니어링하는 데 성공했다. 방어를 열심히 하다가 공격자의 툴을 확보하게 된, 희한한 경우다. 벅아이는 이 툴을 곧 다른 공격에 활용하기 시작했다.
시만텍의 기술 국장인 에릭 치엔(Eric Chien)은 “이퀘이젼 그룹의 툴을 벅아이가 연구를 통해 직접 만들어낼 수 있게 된 것이 그리 놀랄 일은 아니다”라고 말한다. “민간 보안 업체들도 충분히 할 수 있는 일이며, 실제 자주 하고 있는 작업이기 때문입니다. 물론 미국 첩보 기관이 아니라 사이버 범죄자들의 공격 도구를 분석한다는 차이점이 있긴 하지만요.”
치엔에 의하면 “보안 업체들이 거의 날마다 공격자들에 대한 정보를 발표할 수 있는 건, 이렇게 공격자들의 도구를 분석하고 조사하기 때문”이라고 한다. “사이버 공격이라는 행위가 적은 리스크를 수반한다고 생각하지만, 반드시 그런 건 아닙니다. 공격을 했을 때 사용한 도구와 수법 모두가 방어자들에게 정보가 되기 마련입니다. 그러다가 자기 툴을 이번에 드러난 것처럼 뺐기기도 하는 것이지요.”
그렇기 때문에 사이버전을 수행하는 정부 기관과 군은 이번 보고서를 주의 깊게 읽어야 한다고 치엔은 말한다. “공격을 한다는 건, 자신의 일부를 표적에게 드러낸다는 겁니다. 또한 공격의 기법을 새롭게 가르쳐주는 기회가 되기도 하죠. 벅아이가 셰도우 브로커스의 대대적인 해킹 툴 유출 이전부터 NSA의 해킹 툴을 사용할 수 있었다는 것이 이를 잘 드러냅니다.”
공격 코드를 리버스 엔지니어링할뿐만 아니라 그 코드를 직접 활용하는 것을 ‘리버싱(reversing)’ 혹은 ‘리롤링(re-rolling)’이라고 부른다. “여태까지 공개된 도구들의 버전을 비교해보면 셰도우 브로커스는 확실히 초기 버전을 훔쳐냈음을 알 수 있습니다. 하지만 이퀘이젼 그룹은 계속해서 툴을 수정해왔다는 것 또한 알 수 있습니다. 수정된 툴들로 벅아이를 공격했던 것이죠. 그리고 벅아이는 이에 따라 리롤링을 계속 해왔고요.”
벅아이가 자신들의 공격에 실제 사용했던 건 이터널로맨스(EternalRomance)와 이터널시너지(EternalSynergy)라는 익스플로잇 도구의 절반 정도에 해당하는 것이라고 한다. 이터널로맨스와 이터널시너지 모두 셰도우 브로커스의 유출을 통해 초기 버전이 완전히 공개된 바 있다. 둘 다 원격 공격을 통해 정보를 유출시키는 기능을 가지고 있다. “벅아이가 직접 만든 건 원격 공격 원리가 이터널로맨스 및 이터널시너지와 같고, 정보 유출 방법에서는 조금 차이를 보입니다.” 벅아이는 이퀘이젼 그룹의 또 다른 도구은 더블펄사(DoublePulsar)의 변종 역시 사용하기 시작했다고 시만텍은 밝혔다.
벅아이는 APT3라는 이름으로도 불리며, 중국 첩보 기관과 관련이 있다. 벅아이가 본 딴 도구의 원래 주인인 이퀘이젼 그룹은 NSA와 관련이 있다. 그리고 그 둘은 서로를 공격하고 방어하던 도구를 통해 점점 닮아가고 있다. 뭔가 우스꽝스러운 일이 사이버 공간에서 일어나고 있다.
3줄 요약
1. 중국의 첩보 기관 산하에 있는 해킹 그룹, 미국 첩보 기관 산하 해킹 그룹의 공격을 방어하다가...
2. 너무 열심히 방어하다 공격 도구를 본 딸 수 있게 됨. 그리고 실제 그 도구를 자신들의 공격에 활용함.
3. 나중에 셰도우 브로커스가 유출시킨 NSA 툴 확인해보니, 미국 툴과 중국 툴이 상당히 닮아있음.
[국제부 문가용 기자(globoan@boannews.com)]
공격자의 리스크는, 공격 와중에 스스로의 일부를 노출시킨다는 것
[보안뉴스 문가용 기자] 중국의 해킹 단체가 미국 첩보 기관이 사용하는 익스플로잇과 백도어에 접근하는 데 성공했다. 그런데 그 방법이 조금 색달라 해외 보안 커뮤니티에서 화제가 되고 있다. 이에 대해 보안 업체 시만텍(Symantec)이 조사해 보고서를 발표했다.
[이미지 = iclickart]
문제의 단체는 벅아이(Buckeye)라는 이름을 가졌으며, 중국 정부의 지원을 받고 있는 것으로 알려져 있다. 벅아이는 2016년, 그전까지 알려지지 않은 취약점을 공략하기 위한 익스플로잇을 사용했는데, 이전 셰도우 브로커스(Shadow Brokers)라는 해커가 훗날 유출시킨 이퀘이젼 그룹(Equation Group)의 툴셋에 포함되어 있던 것이었다. 셰도우 브루커스가 떠들썩하게 미국 첩보 기관의 해킹 툴을 공개하기도 전에 이미 벅아이가 사용하고 있었다는 것이다.
시만텍에 의하면 벅아이가 이미 이전부터 NSA(이퀘이젼 그룹은 NSA 소속인 것으로 알려져 있다)를 해킹한 것이 아니라고 한다. 공격을 시작한 건 벅아이를 추적하던 이퀘이젼 그룹이었고, 벅아이는 이를 보다 완벽히 막기 위해 공격 도구를 추적하고 리버스 엔지니어링하는 데 성공했다. 방어를 열심히 하다가 공격자의 툴을 확보하게 된, 희한한 경우다. 벅아이는 이 툴을 곧 다른 공격에 활용하기 시작했다.
시만텍의 기술 국장인 에릭 치엔(Eric Chien)은 “이퀘이젼 그룹의 툴을 벅아이가 연구를 통해 직접 만들어낼 수 있게 된 것이 그리 놀랄 일은 아니다”라고 말한다. “민간 보안 업체들도 충분히 할 수 있는 일이며, 실제 자주 하고 있는 작업이기 때문입니다. 물론 미국 첩보 기관이 아니라 사이버 범죄자들의 공격 도구를 분석한다는 차이점이 있긴 하지만요.”
치엔에 의하면 “보안 업체들이 거의 날마다 공격자들에 대한 정보를 발표할 수 있는 건, 이렇게 공격자들의 도구를 분석하고 조사하기 때문”이라고 한다. “사이버 공격이라는 행위가 적은 리스크를 수반한다고 생각하지만, 반드시 그런 건 아닙니다. 공격을 했을 때 사용한 도구와 수법 모두가 방어자들에게 정보가 되기 마련입니다. 그러다가 자기 툴을 이번에 드러난 것처럼 뺐기기도 하는 것이지요.”
그렇기 때문에 사이버전을 수행하는 정부 기관과 군은 이번 보고서를 주의 깊게 읽어야 한다고 치엔은 말한다. “공격을 한다는 건, 자신의 일부를 표적에게 드러낸다는 겁니다. 또한 공격의 기법을 새롭게 가르쳐주는 기회가 되기도 하죠. 벅아이가 셰도우 브로커스의 대대적인 해킹 툴 유출 이전부터 NSA의 해킹 툴을 사용할 수 있었다는 것이 이를 잘 드러냅니다.”
공격 코드를 리버스 엔지니어링할뿐만 아니라 그 코드를 직접 활용하는 것을 ‘리버싱(reversing)’ 혹은 ‘리롤링(re-rolling)’이라고 부른다. “여태까지 공개된 도구들의 버전을 비교해보면 셰도우 브로커스는 확실히 초기 버전을 훔쳐냈음을 알 수 있습니다. 하지만 이퀘이젼 그룹은 계속해서 툴을 수정해왔다는 것 또한 알 수 있습니다. 수정된 툴들로 벅아이를 공격했던 것이죠. 그리고 벅아이는 이에 따라 리롤링을 계속 해왔고요.”
벅아이가 자신들의 공격에 실제 사용했던 건 이터널로맨스(EternalRomance)와 이터널시너지(EternalSynergy)라는 익스플로잇 도구의 절반 정도에 해당하는 것이라고 한다. 이터널로맨스와 이터널시너지 모두 셰도우 브로커스의 유출을 통해 초기 버전이 완전히 공개된 바 있다. 둘 다 원격 공격을 통해 정보를 유출시키는 기능을 가지고 있다. “벅아이가 직접 만든 건 원격 공격 원리가 이터널로맨스 및 이터널시너지와 같고, 정보 유출 방법에서는 조금 차이를 보입니다.” 벅아이는 이퀘이젼 그룹의 또 다른 도구은 더블펄사(DoublePulsar)의 변종 역시 사용하기 시작했다고 시만텍은 밝혔다.
벅아이는 APT3라는 이름으로도 불리며, 중국 첩보 기관과 관련이 있다. 벅아이가 본 딴 도구의 원래 주인인 이퀘이젼 그룹은 NSA와 관련이 있다. 그리고 그 둘은 서로를 공격하고 방어하던 도구를 통해 점점 닮아가고 있다. 뭔가 우스꽝스러운 일이 사이버 공간에서 일어나고 있다.
3줄 요약
1. 중국의 첩보 기관 산하에 있는 해킹 그룹, 미국 첩보 기관 산하 해킹 그룹의 공격을 방어하다가...
2. 너무 열심히 방어하다 공격 도구를 본 딸 수 있게 됨. 그리고 실제 그 도구를 자신들의 공격에 활용함.
3. 나중에 셰도우 브로커스가 유출시킨 NSA 툴 확인해보니, 미국 툴과 중국 툴이 상당히 닮아있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
.png)
