Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

중국의 정보탈취 해킹 그룹 APT10, 기지개를 펴다
  |  입력 : 2017-04-09 20:45
 
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
트럼프 정권으로 바뀔 무역 정책 관할하는 기관 노리기도
서드파티 노려 ‘합법적’으로 출입한 후 지적재산 탈취해


[보안뉴스 문가용 기자] 중국의 시진핑 주석이 트럼프 대통령과의 만남을 위해 미국을 방문했다. 그 시기에 맞춰 중국의 사이버 캠페인 단체인 APT10의 활동이 감지되었다고 한다. 이에 대해 보안 전문업체인 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 부회장 하딕 모디(Hardik Modi)는 “2015년 미국과 중국 사이에 사이버전 평화 조약이 맺어졌지만, 그것을 순진하게 믿어서는 안 된다”고 경고했다.

china-body(2).jpg


피델리스는 최근 APT10 혹은 스톤판다(Stone Panda)로 알려진 그룹의 활동이 증가했다고 발표했다. 그러면서 APT10이 벌이고 있는 작전을 트레이드시크릿(TradeSecret)이라고 이름 붙였다. PwC 영국과 BAE 시스템즈(BAE Systems) 역시 이러한 현상에 주목해 세계 보안 커뮤니티에 ‘조심하라’는 경고를 전달하기도 했다.

1. 해외 무역 선점 위해?
피델리스에 의하면 트레이드시크릿 캠페인은 미국의 외국무역협의회(National Foreign Trade Council, NFTC) 웹사이트를 겨냥하고 있다. 이들이 사용하고 있는 정찰 툴은 스캔박스(Scanbox)로, 중국 정부의 후원을 받고 있는 사이버전 단체들이 이전부터 사용해 온 것이다. 이 툴이 NFTC 웹사이트 일부 페이지에 임베드 되어 있는 것이 발견되었다. 그 중엔 NFTC의 임원진이 회의 참석 등록 시 사용하는 페이지도 포함되어 있었다.

스캔박스는 자신이 임베드된 페이지를 방문한 사람들의 시스템을 감염시키는 기능을 가지고 있으며, 크리덴셜과 세션 정보, 시스템 데이터 등을 수집하기도 한다. 이러한 정보들은 피싱 공격에 활용되거나 특정 취약점을 익스플로잇하는 데에 첫 단추가 되기도 한다. 다만 APT10이 최초에 해당 사이트를 어떻게 침해했는지는 밝혀지지 않고 있다.

“스캔박스는 거대한 프레임워크로, 다양한 감시 및 정찰 기능을 가진 모듈들로 구성되어 있습니다. 표적이 된 시스템에 어떤 소프트웨어가 설치되어 있는지, 어떤 백신 제품이 어떤 버전 상태에서 활동하고 있는지 등을 파악할 수 있게 해주죠. 예를 들어 자바스크립트 키로거 기능을 통해 크리덴셜을 훔쳐내기도 하고, 이 크리덴셜로 추가 공격을 하기도 합니다.”

NFTC는 미국이 국제 시장에서 무역을 하는 데에 있어 중요한 대변인이자 중개인 역할을 해온 단체다. 최근 정권이 바뀌며 무역 정책 프레임워크가 새롭게 바뀌고 있는데, 중국이 추후 무역을 하는 데에 있어 영향력을 발휘하기 위해 NFTC를 겨냥한 것으로 유추된다.

2. MSP를 통해 대기업을 노리다
PwC 영국과 BAE 시스템즈가 최근 발표한 것은 ‘중국’과 ‘APT10’이라는 공통분모가 있긴 하지만 피델리스가 발견한 것과는 다른 내용이다. “이 공격을 클라우드하퍼(Cloud Hopper)라고 이름 붙였으며, APT10이 국제적인 대기업들을 대량으로 겨냥해 진행한 사이버 공격을 말합니다.” PwC와 BAE의 설명이다.

클라우드하퍼 공격의 가장 큰 특징은 표적이 된 기업들을 직접 노린 게 아니라 관리 서비스 제공자(MSP)를 통해 공격을 감행했다는 것이다. MSP란 관리 기능을 대신해주는 외주업체 혹은 파트너사로, APT10은 2016년 후반기부터 이런 업체들을 집중적으로 노려왔다고 한다. 목표는 당연히 MSP 업체 자체가 아니라 그들의 파트너사인 대기업들. MSP를 공격한 후, ‘합법적’으로 대기업들에 침투하기 위해서였다. 

MSP를 통해 우회 침입에 성공한 APT10은 여러 가지 정보를 빼내기 시작했다. 압축 파일에 필요한 정보를 집어넣어 MSP 네트워크로 전송한 후, MSP에서 APT10이 통제하는 서버로 다시 전송하는 방식이었다. 이들이 집중적으로 노린 건 지적재산인 것으로 밝혀졌다. “APT10은 원래부터 다양한 피해자들로부터 대량의 데이터를 빼내는 것으로 유명하죠. 그 기술이 조금 더 교묘해졌다고 볼 수 있습니다. MSP 네트워크를 발판 삼아 눈에 안 띄는 방법을 터득한 것이니까요.”

이 클라우드하퍼 공격의 본질은 ‘서드파티 공격’이라고 사이버GRX(CyberGRX)의 CEO인 프레드 네이프(Fred Kneip)가 설명한다. “기업과 기업 사이의 신뢰된 전제조건들을 겨냥한 공격인 것이죠. 타깃(Target) 사건 때와 본질적으로 다를 게 없습니다. 하지만 기업과 기업이 필요한 기능을 대행해주는 현대의 산업 환경에서 신뢰가 필수 요소이기도 하니, 뾰족한 수가 나오지 않고 있기도 합니다.”

실제 서드파티를 통한 우회 공격은 사이버 보안 사고를 일으키는 두 번째 주요 주범이다. “서로 어떤 사업을 같이 꾸려나가느냐를 놓고 대화하는 것에는 모두가 익숙합니다. 하지만 서로 어떤 위협을 가할 수 있느냐는 편안한 대화 주제가 아니죠. 하지만 어색하다고 해서 피해가서는 안 됩니다. 꾸준하고 진지하게 파트너사의 보안 상태를 평가할 수 있는 제도가 필요합니다. 남의 회사 보안이라고 미루다가는 자기 피해로 돌아오니까요.”

클라우드 시큐리티 얼라이언스(Cloud Security Alliance)의 총책임자인 짐 리비스(Jim Reavis)는 “파트너사 간 망분리나 세그멘테이션은 어떤 식으로 유지되고 있는지 평가하고, 안전에 대한 책임을 양사가 어떻게 나눌 것인지, 어떤 사고에 대해서 누가 어떻게 책임을 질 것인지를 세부적으로 결정해야 합니다. 보통은 MSP 기업들이 데이터 관리 책임까지 가지고 있어야 정상인데, 이를 반드시 확인해야 합니다.”

SANS의 위협 연구 책임자인 존 페스카토어(John Pescatore)는 “점점 큰 회사와 파트너십을 맺는 데에 있어 엄격한 보안 수준이 요구될 것”이라고 전망하고 있다. “하지만 적정 수준의 보안을 유지하려면 돈이 많이 들죠. 그렇다고 형편만큼만 보안 강화를 하면 경쟁에서 뒤처지고요. 아마 작은 기업들은 앞으로 많은 고민을 해야 할 겁니다. 대기업들이 전부 ‘파트너십을 맺고 싶으면 우리한테 보안 검사를 받아!’라고 요구하는 시점부터 보안에 얼마나 돈을 투자할 수 있느냐가 경쟁의 핵심이 될 것이니까요. 이에 대한 조치도 필요해 보입니다.”


출처:http://www.boannews.com/media/view.asp?idx=54168

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.04.10 10:36
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

좋은 정보 고맙습니다.

profile

Bobono

2017.04.10 14:25
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

오에스유

2017.04.10 15:02
가입일: 2018:08.30
총 게시물수: 5
총 댓글수: 130

좋은 정보 고맙습니다

profile

프리네

2017.04.11 08:21
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

정말 큰일이네요....

profile

아버지

2017.04.18 05:34
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

profile

대공

2017.09.02 14:58
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

쓰레기들

profile

세계일주

2017.09.27 15:37
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

감사합니다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
270 일반 [대중문화와 사이버 개념 이해] ④SNS의 지속 성장은 유용성과 보안성에 있다 + 5 ordo 05-01 110
269 일반 [대중문화와 사이버 개념 이해] ③해킹의 新패러다임은 실물 복제 고도화 + 6 ordo 05-01 105
268 일반 [대중문화와 사이버 개념 이해] ②사이버 보안기술의 핵심은 인간의 특성이다 + 6 ordo 05-01 131
267 일반 [대중문화와 사이버 개념 이해] ①모든 해킹의 단초는 인간이다 + 6 ordo 05-01 124
266 일반 페이스북 ‘좋아요’와 스팸 댓글 바꾸실래요? + 7 ordo 04-28 147
265 보안 소식 “Are you Happy?” 3.20·한수원 사태 北 해커들, 연합작전 개시 + 5 ordo 04-28 76
264 일반 인터폴, 아세안 지역서 C&C 서버 9000여개 적발 + 8 ordo 04-27 157
263 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 285
262 보안 소식 中 웜 바이러스, PC 14만 4,000대 감염 + 11 ordo 04-25 156
261 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 125
260 보안 소식 NSA 사이버 무기 판도라 상자 열렸다. file + 7 파란하늘 04-23 94
259 보안 소식 역대 최악 수준의 ‘컨피커 웜’ 공포, 랜섬웨어로 부활하나 + 11 ordo 04-22 158
258 보안 소식 시스코·아파치·VMware·오라클 등 글로벌 SW, 보안 패치 줄이어 + 5 ordo 04-22 194
257 일반 (ISC)²가 트럼프에게 사이버보안 행정명령 권고안 제시하다 + 4 ordo 04-21 111
256 보안 소식 국민의당 싱크탱크 홈피 디페이스 해킹 당해...현재도 접속불가 + 2 ordo 04-21 143
255 보안 소식 [긴급] 아이폰 사용자 정보도 탈취하는 몸캠 피싱 발견! + 6 ordo 04-20 142
254 보안 소식 [긴급] 셰도우 브로커스 공개 MS 취약점 악용 ‘랜섬웨어’ 출현 + 3 ordo 04-20 133
253 보안 소식 셰도우 브로커스가 공개한 익스플로잇, 이미 해결됐다 + 5 ordo 04-19 147
252 보안 자료 [4.17 버그리포트] CVE + 4 ordo 04-18 97
251 보안 소식 페이스북 계정 탈취 위한 피싱 사이트 출현! 디페이스 공격도 계속 + 4 ordo 04-18 195
250 보안 소식 [긴급] NSA 해킹 의혹 해커조직, MS 윈도우 공격도구 공개 파장 + 5 ordo 04-18 124
» 보안 소식 중국의 정보탈취 해킹 그룹 APT10, 기지개를 펴다 + 7 ordo 04-10 194
248 보안 소식 국내 웹호스팅 업체 노린 해외 해커들, 130여곳 대량 해킹 사태 + 7 ordo 04-10 143
247 보안 소식 Apple(iOS) 보안 업데이트 권고 + 6 ordo 04-09 114
246 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 바이러스 Trojan/Win32.Salsa.R198001 + 6 ordo 04-09 313