트럼프 정권으로 바뀔 무역 정책 관할하는 기관 노리기도
서드파티 노려 ‘합법적’으로 출입한 후 지적재산 탈취해

[보안뉴스 문가용 기자] 중국의 시진핑 주석이 트럼프 대통령과의 만남을 위해 미국을 방문했다. 그 시기에 맞춰 중국의 사이버 캠페인 단체인 APT10의 활동이 감지되었다고 한다. 이에 대해 보안 전문업체인 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 부회장 하딕 모디(Hardik Modi)는 “2015년 미국과 중국 사이에 사이버전 평화 조약이 맺어졌지만, 그것을 순진하게 믿어서는 안 된다”고 경고했다.

피델리스는 최근 APT10 혹은 스톤판다(Stone Panda)로 알려진 그룹의 활동이 증가했다고 발표했다. 그러면서 APT10이 벌이고 있는 작전을 트레이드시크릿(TradeSecret)이라고 이름 붙였다. PwC 영국과 BAE 시스템즈(BAE Systems) 역시 이러한 현상에 주목해 세계 보안 커뮤니티에 ‘조심하라’는 경고를 전달하기도 했다.

1. 해외 무역 선점 위해?
피델리스에 의하면 트레이드시크릿 캠페인은 미국의 외국무역협의회(National Foreign Trade Council, NFTC) 웹사이트를 겨냥하고 있다. 이들이 사용하고 있는 정찰 툴은 스캔박스(Scanbox)로, 중국 정부의 후원을 받고 있는 사이버전 단체들이 이전부터 사용해 온 것이다. 이 툴이 NFTC 웹사이트 일부 페이지에 임베드 되어 있는 것이 발견되었다. 그 중엔 NFTC의 임원진이 회의 참석 등록 시 사용하는 페이지도 포함되어 있었다.

스캔박스는 자신이 임베드된 페이지를 방문한 사람들의 시스템을 감염시키는 기능을 가지고 있으며, 크리덴셜과 세션 정보, 시스템 데이터 등을 수집하기도 한다. 이러한 정보들은 피싱 공격에 활용되거나 특정 취약점을 익스플로잇하는 데에 첫 단추가 되기도 한다. 다만 APT10이 최초에 해당 사이트를 어떻게 침해했는지는 밝혀지지 않고 있다.

“스캔박스는 거대한 프레임워크로, 다양한 감시 및 정찰 기능을 가진 모듈들로 구성되어 있습니다. 표적이 된 시스템에 어떤 소프트웨어가 설치되어 있는지, 어떤 백신 제품이 어떤 버전 상태에서 활동하고 있는지 등을 파악할 수 있게 해주죠. 예를 들어 자바스크립트 키로거 기능을 통해 크리덴셜을 훔쳐내기도 하고, 이 크리덴셜로 추가 공격을 하기도 합니다.”

NFTC는 미국이 국제 시장에서 무역을 하는 데에 있어 중요한 대변인이자 중개인 역할을 해온 단체다. 최근 정권이 바뀌며 무역 정책 프레임워크가 새롭게 바뀌고 있는데, 중국이 추후 무역을 하는 데에 있어 영향력을 발휘하기 위해 NFTC를 겨냥한 것으로 유추된다.

2. MSP를 통해 대기업을 노리다
PwC 영국과 BAE 시스템즈가 최근 발표한 것은 ‘중국’과 ‘APT10’이라는 공통분모가 있긴 하지만 피델리스가 발견한 것과는 다른 내용이다. “이 공격을 클라우드하퍼(Cloud Hopper)라고 이름 붙였으며, APT10이 국제적인 대기업들을 대량으로 겨냥해 진행한 사이버 공격을 말합니다.” PwC와 BAE의 설명이다.

클라우드하퍼 공격의 가장 큰 특징은 표적이 된 기업들을 직접 노린 게 아니라 관리 서비스 제공자(MSP)를 통해 공격을 감행했다는 것이다. MSP란 관리 기능을 대신해주는 외주업체 혹은 파트너사로, APT10은 2016년 후반기부터 이런 업체들을 집중적으로 노려왔다고 한다. 목표는 당연히 MSP 업체 자체가 아니라 그들의 파트너사인 대기업들. MSP를 공격한 후, ‘합법적’으로 대기업들에 침투하기 위해서였다. 

MSP를 통해 우회 침입에 성공한 APT10은 여러 가지 정보를 빼내기 시작했다. 압축 파일에 필요한 정보를 집어넣어 MSP 네트워크로 전송한 후, MSP에서 APT10이 통제하는 서버로 다시 전송하는 방식이었다. 이들이 집중적으로 노린 건 지적재산인 것으로 밝혀졌다. “APT10은 원래부터 다양한 피해자들로부터 대량의 데이터를 빼내는 것으로 유명하죠. 그 기술이 조금 더 교묘해졌다고 볼 수 있습니다. MSP 네트워크를 발판 삼아 눈에 안 띄는 방법을 터득한 것이니까요.”

이 클라우드하퍼 공격의 본질은 ‘서드파티 공격’이라고 사이버GRX(CyberGRX)의 CEO인 프레드 네이프(Fred Kneip)가 설명한다. “기업과 기업 사이의 신뢰된 전제조건들을 겨냥한 공격인 것이죠. 타깃(Target) 사건 때와 본질적으로 다를 게 없습니다. 하지만 기업과 기업이 필요한 기능을 대행해주는 현대의 산업 환경에서 신뢰가 필수 요소이기도 하니, 뾰족한 수가 나오지 않고 있기도 합니다.”

실제 서드파티를 통한 우회 공격은 사이버 보안 사고를 일으키는 두 번째 주요 주범이다. “서로 어떤 사업을 같이 꾸려나가느냐를 놓고 대화하는 것에는 모두가 익숙합니다. 하지만 서로 어떤 위협을 가할 수 있느냐는 편안한 대화 주제가 아니죠. 하지만 어색하다고 해서 피해가서는 안 됩니다. 꾸준하고 진지하게 파트너사의 보안 상태를 평가할 수 있는 제도가 필요합니다. 남의 회사 보안이라고 미루다가는 자기 피해로 돌아오니까요.”

클라우드 시큐리티 얼라이언스(Cloud Security Alliance)의 총책임자인 짐 리비스(Jim Reavis)는 “파트너사 간 망분리나 세그멘테이션은 어떤 식으로 유지되고 있는지 평가하고, 안전에 대한 책임을 양사가 어떻게 나눌 것인지, 어떤 사고에 대해서 누가 어떻게 책임을 질 것인지를 세부적으로 결정해야 합니다. 보통은 MSP 기업들이 데이터 관리 책임까지 가지고 있어야 정상인데, 이를 반드시 확인해야 합니다.”

SANS의 위협 연구 책임자인 존 페스카토어(John Pescatore)는 “점점 큰 회사와 파트너십을 맺는 데에 있어 엄격한 보안 수준이 요구될 것”이라고 전망하고 있다. “하지만 적정 수준의 보안을 유지하려면 돈이 많이 들죠. 그렇다고 형편만큼만 보안 강화를 하면 경쟁에서 뒤처지고요. 아마 작은 기업들은 앞으로 많은 고민을 해야 할 겁니다. 대기업들이 전부 ‘파트너십을 맺고 싶으면 우리한테 보안 검사를 받아!’라고 요구하는 시점부터 보안에 얼마나 돈을 투자할 수 있느냐가 경쟁의 핵심이 될 것이니까요. 이에 대한 조치도 필요해 보입니다.”

출처:http://www.boannews.com/media/view.asp?idx=54168