Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

중국의 정보탈취 해킹 그룹 APT10, 기지개를 펴다
  |  입력 : 2017-04-09 20:45
 
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
트럼프 정권으로 바뀔 무역 정책 관할하는 기관 노리기도
서드파티 노려 ‘합법적’으로 출입한 후 지적재산 탈취해


[보안뉴스 문가용 기자] 중국의 시진핑 주석이 트럼프 대통령과의 만남을 위해 미국을 방문했다. 그 시기에 맞춰 중국의 사이버 캠페인 단체인 APT10의 활동이 감지되었다고 한다. 이에 대해 보안 전문업체인 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 부회장 하딕 모디(Hardik Modi)는 “2015년 미국과 중국 사이에 사이버전 평화 조약이 맺어졌지만, 그것을 순진하게 믿어서는 안 된다”고 경고했다.

china-body(2).jpg


피델리스는 최근 APT10 혹은 스톤판다(Stone Panda)로 알려진 그룹의 활동이 증가했다고 발표했다. 그러면서 APT10이 벌이고 있는 작전을 트레이드시크릿(TradeSecret)이라고 이름 붙였다. PwC 영국과 BAE 시스템즈(BAE Systems) 역시 이러한 현상에 주목해 세계 보안 커뮤니티에 ‘조심하라’는 경고를 전달하기도 했다.

1. 해외 무역 선점 위해?
피델리스에 의하면 트레이드시크릿 캠페인은 미국의 외국무역협의회(National Foreign Trade Council, NFTC) 웹사이트를 겨냥하고 있다. 이들이 사용하고 있는 정찰 툴은 스캔박스(Scanbox)로, 중국 정부의 후원을 받고 있는 사이버전 단체들이 이전부터 사용해 온 것이다. 이 툴이 NFTC 웹사이트 일부 페이지에 임베드 되어 있는 것이 발견되었다. 그 중엔 NFTC의 임원진이 회의 참석 등록 시 사용하는 페이지도 포함되어 있었다.

스캔박스는 자신이 임베드된 페이지를 방문한 사람들의 시스템을 감염시키는 기능을 가지고 있으며, 크리덴셜과 세션 정보, 시스템 데이터 등을 수집하기도 한다. 이러한 정보들은 피싱 공격에 활용되거나 특정 취약점을 익스플로잇하는 데에 첫 단추가 되기도 한다. 다만 APT10이 최초에 해당 사이트를 어떻게 침해했는지는 밝혀지지 않고 있다.

“스캔박스는 거대한 프레임워크로, 다양한 감시 및 정찰 기능을 가진 모듈들로 구성되어 있습니다. 표적이 된 시스템에 어떤 소프트웨어가 설치되어 있는지, 어떤 백신 제품이 어떤 버전 상태에서 활동하고 있는지 등을 파악할 수 있게 해주죠. 예를 들어 자바스크립트 키로거 기능을 통해 크리덴셜을 훔쳐내기도 하고, 이 크리덴셜로 추가 공격을 하기도 합니다.”

NFTC는 미국이 국제 시장에서 무역을 하는 데에 있어 중요한 대변인이자 중개인 역할을 해온 단체다. 최근 정권이 바뀌며 무역 정책 프레임워크가 새롭게 바뀌고 있는데, 중국이 추후 무역을 하는 데에 있어 영향력을 발휘하기 위해 NFTC를 겨냥한 것으로 유추된다.

2. MSP를 통해 대기업을 노리다
PwC 영국과 BAE 시스템즈가 최근 발표한 것은 ‘중국’과 ‘APT10’이라는 공통분모가 있긴 하지만 피델리스가 발견한 것과는 다른 내용이다. “이 공격을 클라우드하퍼(Cloud Hopper)라고 이름 붙였으며, APT10이 국제적인 대기업들을 대량으로 겨냥해 진행한 사이버 공격을 말합니다.” PwC와 BAE의 설명이다.

클라우드하퍼 공격의 가장 큰 특징은 표적이 된 기업들을 직접 노린 게 아니라 관리 서비스 제공자(MSP)를 통해 공격을 감행했다는 것이다. MSP란 관리 기능을 대신해주는 외주업체 혹은 파트너사로, APT10은 2016년 후반기부터 이런 업체들을 집중적으로 노려왔다고 한다. 목표는 당연히 MSP 업체 자체가 아니라 그들의 파트너사인 대기업들. MSP를 공격한 후, ‘합법적’으로 대기업들에 침투하기 위해서였다. 

MSP를 통해 우회 침입에 성공한 APT10은 여러 가지 정보를 빼내기 시작했다. 압축 파일에 필요한 정보를 집어넣어 MSP 네트워크로 전송한 후, MSP에서 APT10이 통제하는 서버로 다시 전송하는 방식이었다. 이들이 집중적으로 노린 건 지적재산인 것으로 밝혀졌다. “APT10은 원래부터 다양한 피해자들로부터 대량의 데이터를 빼내는 것으로 유명하죠. 그 기술이 조금 더 교묘해졌다고 볼 수 있습니다. MSP 네트워크를 발판 삼아 눈에 안 띄는 방법을 터득한 것이니까요.”

이 클라우드하퍼 공격의 본질은 ‘서드파티 공격’이라고 사이버GRX(CyberGRX)의 CEO인 프레드 네이프(Fred Kneip)가 설명한다. “기업과 기업 사이의 신뢰된 전제조건들을 겨냥한 공격인 것이죠. 타깃(Target) 사건 때와 본질적으로 다를 게 없습니다. 하지만 기업과 기업이 필요한 기능을 대행해주는 현대의 산업 환경에서 신뢰가 필수 요소이기도 하니, 뾰족한 수가 나오지 않고 있기도 합니다.”

실제 서드파티를 통한 우회 공격은 사이버 보안 사고를 일으키는 두 번째 주요 주범이다. “서로 어떤 사업을 같이 꾸려나가느냐를 놓고 대화하는 것에는 모두가 익숙합니다. 하지만 서로 어떤 위협을 가할 수 있느냐는 편안한 대화 주제가 아니죠. 하지만 어색하다고 해서 피해가서는 안 됩니다. 꾸준하고 진지하게 파트너사의 보안 상태를 평가할 수 있는 제도가 필요합니다. 남의 회사 보안이라고 미루다가는 자기 피해로 돌아오니까요.”

클라우드 시큐리티 얼라이언스(Cloud Security Alliance)의 총책임자인 짐 리비스(Jim Reavis)는 “파트너사 간 망분리나 세그멘테이션은 어떤 식으로 유지되고 있는지 평가하고, 안전에 대한 책임을 양사가 어떻게 나눌 것인지, 어떤 사고에 대해서 누가 어떻게 책임을 질 것인지를 세부적으로 결정해야 합니다. 보통은 MSP 기업들이 데이터 관리 책임까지 가지고 있어야 정상인데, 이를 반드시 확인해야 합니다.”

SANS의 위협 연구 책임자인 존 페스카토어(John Pescatore)는 “점점 큰 회사와 파트너십을 맺는 데에 있어 엄격한 보안 수준이 요구될 것”이라고 전망하고 있다. “하지만 적정 수준의 보안을 유지하려면 돈이 많이 들죠. 그렇다고 형편만큼만 보안 강화를 하면 경쟁에서 뒤처지고요. 아마 작은 기업들은 앞으로 많은 고민을 해야 할 겁니다. 대기업들이 전부 ‘파트너십을 맺고 싶으면 우리한테 보안 검사를 받아!’라고 요구하는 시점부터 보안에 얼마나 돈을 투자할 수 있느냐가 경쟁의 핵심이 될 것이니까요. 이에 대한 조치도 필요해 보입니다.”


출처:http://www.boannews.com/media/view.asp?idx=54168

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.04.10 10:36
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

좋은 정보 고맙습니다.

profile

Bobono

2017.04.10 14:25
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

오에스유

2017.04.10 15:02
가입일: 2018:08.30
총 게시물수: 5
총 댓글수: 130

좋은 정보 고맙습니다

profile

프리네

2017.04.11 08:21
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정말 큰일이네요....

profile

아버지

2017.04.18 05:34
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

profile

대공

2017.09.02 14:58
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

쓰레기들

profile

세계일주

2017.09.27 15:37
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
345 보안 소식 한글문서 ‘자료연결’ 기능 악용한 국내 표적 악성코드 주의 file + 3 파란하늘 11-07 424
344 보안 소식 네트워크를 통해 퍼지는 Bad Rabbit 랜섬웨어, 우크라이나와 러시아 공격 중 + 7 티오피 10-27 214
343 보안 소식 로키봇- 삭제 시도 하면 랜섬웨어로 변신하는 뱅킹 트로이목마 + 5 티오피 10-25 234
342 보안 소식 카스퍼스키, 신뢰를 얻기 위해 백신 소스 코드 공개해 + 6 티오피 10-25 237
341 보안 소식 구멍 뻥 뚫린 무선랜…사용자 대처법은 + 10 티오피 10-24 302
340 보안 소식 패치 되지 않은 마이크로소프트 DDE 익스플로잇, 광범위한 악성코드 공격에 사용 돼 + 4 티오피 10-24 178
339 보안 소식 [긴급] 신종 랜섬웨어 ‘마이랜섬’ 출현 + 4 덕애 10-21 237
338 보안 소식 풀린 자물쇠 데누보, 게임 출시 ‘하루 만에’ 줄줄이 불법복제 + 5 인어공주 10-20 240
337 보안 소식 트럼프의 DMZ 방문 두고 시끌시끌 file + 4 따봉 10-19 155
336 보안 소식 에퀴팩스 피해자 수, 1억 4,450만 명으로 늘어 file + 5 따봉 10-19 187
335 보안 소식 “ATM에 든 현금 다 뽑아내는” 멀웨어, 다크 웹에서 판매 중 file + 5 따봉 10-19 209
334 보안 소식 마인크래프트 스킨 앱에서 신종 멀웨어 ‘삭봇’ 발견 file + 5 따봉 10-19 177
333 보안 소식 보안 담당자들이여, 잠들어 있는 우뇌를 깨워라 file + 5 따봉 10-19 158
332 보안 소식 기업의 최대 위협 스피어피싱 위협 인텔리전스’로 대응하라 file + 5 따봉 10-18 153
331 보안 소식 야옹이로 옆집 와이파이 해킹할 수 있다옹 file + 5 따봉 10-18 1103
330 보안 소식 KISA 직원, 경품 당첨 위해 악성코드 빼돌렸다 적발 file + 5 따봉 10-18 157
329 보안 소식 신종 랜섬웨어 ‘마이랜섬’ 출현...제2의 케르베르 공포 시작되나 file + 5 따봉 10-18 152
328 보안 소식 하나투어’ 100만건 이어 화장품 쇼핑몰 ‘뷰티퀸’까지 고객정보 털렸 file + 5 따봉 10-18 133
327 보안 소식 가상화폐 거래소 코인이즈, 해킹 보상대책도 주소도 오리무중? + 6 빽이 10-15 238
326 보안 소식 인공지능의 위협보다 '오류 가능성' 더 걱정해야 + 5 덕애 10-14 256
325 보안 자료 고급 정보보안 강좌 + 5 덕애 10-12 295
324 보안 소식 해킹 여부는 보안사항 + 5 덕애 10-12 231
323 보안 소식 공공 와이파이 해킹 위협 높다 + 6 덕애 10-12 288
322 보안 소식 해커, 악성 코드로 ATM 기기에서 현금 인출 + 6 우오아아아웅 10-03 323
321 보안 소식 지난 4년간 개인‧정부기관에 확인된 악성코드만 19,000여 건, 매년 급증 + 4 우오아아아웅 10-03 298