2024-03-29 03:25 (금)
중국 ‘일대일로’와 연관된 사이버 공격자 그룹과 악성코드 분석
상태바
중국 ‘일대일로’와 연관된 사이버 공격자 그룹과 악성코드 분석
  • 길민권 기자
  • 승인 2018.08.30 13:19
이 기사를 공유합니다

각종 프로젝트 및 협약과 관련한 기업 인텔리전스 수집할 것으로 예측

hacker-1725256_640.jpg
아시아와 유럽, 아프리카 등 70여 개국을 연결하는 육, 해상 실크로드인 중국의 일대일로(一带一路)와 관련이 높은 것으로 보이는 사이버 공격에 대한 정보가 공개됐다.

파이어아이는 일대일로가 중국 APT(Advanced Persistent Threat) 그룹을 비롯한 다양한 공격자들의 지역 기반 사이버 위협의 촉매제가 될 것이라고 전망했다.

이들은 사이버 위협으로 유리한 정보를 확보하고, 각종 프로젝트 및 협약과 관련한 기업 인텔리전스를 수집할 것으로 예측된다. 예전 활동을 고려하면 공격 대상은 지역 정부, 학계 및 씽크탱크, 운송, 건설, 제조, 에너지, 채굴 및 금융 분야 등으로 예상된다.

파이어아이는 이미 지역별로 출처가 모호한 공격자들이 일대일로와 관련된 사이버 공격을 더욱 많이 시도하고 있다는 증거를 확인했다. 관련 그룹과 악성코드는 다음과 같다.

△로밍 타이거(Roaming Tiger)=중국계 조직으로 벨라루스의 국가안보 기관을 노렸으며 ‘북경에서 개최되는 일대일로 포럼(The Belt and Road Forum in Beijing)’이라는 문서로 로밍 타이거의 ENFAL다운로더, ENFAL백도어, 새롭게 확인된 영파일럿(YOUNGPILOT) 페이로드를 함께 유포했다. 로밍 타이거는 기존에 주로 구소련 연방 내 대상을 노렸으며, 한국 외교와 관련된 사안도 노린 것으로 보인다. 이는 로밍 타이거가 동부 및 중앙 유럽에만 한정된 것이 아니라 전 세계적으로 사이버 공격 범위 확장을 고려할 수 있다는 점을 시사한다.

△토이스네이크(TOYSNAKE)=유럽 정치권을 노렸던 APT25를 비롯한 다수의 중국 사이버 스파이들이 사용했던 백도어 악성코드다. 파이어아이는 2017년 12월 6일부터 7일까지 여러 유럽국가의 외교부를 대상으로 한 스피어피싱 이메일을 탐지했는데, 이 메일들은 토이스네이크를 설치시키는 악성 문서를 포함했다. 일대일로를 비롯해 무역 관련 주제에 집중하는 최근 중국 사이버 스파이 활동 기조대로 이번 활동은 당시 다가오던 세계무역기구(WTO) 미팅에 대한 정보 수집을 노린 것으로 추정된다.

△베인찬트(BANECHANT)=최근 몰디브가 일대일로 관련 중국 인프라 개발과 금융 투자의 중심으로 떠오르고 있다. 파이어아이는 지난 2017년 말, 몰디브를 대상으로 한 사이버 첩보 활동에 대해 보고하면서, 발생 이유로 몰디브가 인도양 내 경제 및 보안 부문에서 차지하는 역할이 크기 때문으로 추측했다. 당시 공격은 정책 관련 내용을 담은 악성 워드 파일을 활용해 ‘베인찬트’라는 페이로드를 퍼뜨리는 것이었다. 아직 실체가 명확하지 않지만, 공격 대상 선정과 기술을 살펴보았을 때 중국과의 연결고리가 있다고 판단된다.

△리터콜라(LITRECOLA)=캄보디아 정치인을 대상으로 라오스 정부기관의 연락처를 담은 악의적인 매크로 문서를 통해 ‘리터콜라’ 악성코드가 활용된 것으로 여겨진다. 파이어아이는 공격 대상이 된 이메일을 통해 리터콜라 악성코드를 배포하는 그룹과 관련 인프라가 이전에 다른 중국 관련 캠페인과 IP주소가 동일한 점을 확인해, 해당 공격이 중국발이라 추측했다. 구체적인 대상은 불확실하나 캄보디아의 여당인 ‘캄보디아인민당(CPP)’의 주적이자 해산된 ‘캄보디아구국당(CNRP)’과 관련된 개인 및 조직을 대상으로 한 것으로 추측한다. 캄보디아인민당의 경우 중국과 긴밀하게 협력관계를 맺고 있으며, 일대일로 네트워크에서 중요한 지역 교점으로써 중국 정부의 핵심 전략 및 경제 파트너이기도 하다.

△세이퍼싱(SAFERSING)=파이어아이는 2017년 말 비영리단체를 집중적으로 노린 사이버 공격 활동을 발견했으며 이는 더 큰 규모의 사이버 첩보 공격에 연결됐을 가능성이 높은 것으로 나타났다. 이 사건에 사용된 ‘세이퍼싱’ 악성코드는 중국 사이버 첩보 그룹에 나타나는 고유한 스타일로, 적어도 다른 2개의 국제 인도주의 재단을 노린 것으로 나타났다. 아직 확정되지 않았으나, 현재까지 공격 대상이 된 조직 모두 일대일로와 연관이 있다는 점은 주목할 만하다.

△템프페리스콥(TEMP.Periscope)=적어도 2013년부터 활동한 템프페리스콥은 해양 산업을 주로 겨냥하며 홍콩, 유럽, 미국 내 해양운송산업 관련 조직을 노리는 공격을 진행한 바 있다. 남중국해를 둘러싼 긴장감이나 해군 관련 정보 수집 관련일 수 있으나, 해상 운송 인프라에 대한 투자 확대 때문일 가능성도 있다고 나타났다.

파이어아이는 이외에도 중국이 아닌 아시아 지역에서 활동하는 그룹 2개를 확인했다. 이들은 일대일로의 범위와 규모가 전 세계에 경제적으로 얼마나 영향을 미치는지 파악하고자 활동한 것으로 추측된다.

다년간에 걸친 경제 계획인 일대일로의 규모와 적용 범위를 고려할 때, 일대일로는 아시아 전역의 나라와 민간 부문에 영향을 미칠 가능성을 충분히 갖추고 있다. 2015년 당시 미국 오바마 대통령과 중국 시진핑 주석의 합의 이후 파이어아이가 목격한 중국발 위협의 상당수는 아시아 지역을 중심으로 행해지고 있었다. 중국의 사이버 첩보 후원자가 정보전에서 이점을 차지하기 위한 대안을 모색함에 따라, 남중국해를 비롯한 지정학적 문제와 더불어 일대일로는 향후 이러한 행보가 지속되는 요인이 될 것으로 보인다.

또한 파이어아이는 일대일로로 인해 아시아와 중동에 걸쳐 새롭게 떠오르는 사이버 공격자의 역량과 국가 단위의 후원자가 어떤 기준에서 이런 역량을 가진 사이버 공격자를 활용하는지 조명될 것이라고 밝혔다.

이미 베트남과 같이 특정 지역 기반의 사이버 공격자가 자국 내 외국계 기업들을 대상으로 자신들의 첩보 역량을 발휘하기를 원한다는 사실을 밝힌 바 있다.

이처럼 국가 주도 공격자(nation-state actors)가 일대일로에 참여하는 민간 조직을 노릴 가능성도 존재할 수 있다. 일대일로라는 경제 발전 계획의 수혜를 기대하는 서구 국가도 존재하겠지만, 앞으로 일대일로 관련 프로젝트 수가 늘고 계약이 체결되면서, 심각한 사이버 위협 활동이 따라올 것으로 전망하고 있다.

전수홍 파이어아이 코리아 지사장은 “‘일대일로’는 투자 규모가 약 1조 달러에 이르는 대규모 사업인 만큼 국가 주도 공격자를 비롯해 다양한 사이버 공격 그룹의 주목을 끌 수밖에 없어 모든 관계자는 철저히 보안에 대비해야 한다”며 “한국의 경우 중국과 경제, 외교 면에서 긴밀한 관계를 맺어왔을 뿐만 아니라 일대일로 참여국이 주요 시장이기 때문에 관련 사이버 공격 활동의 간접적인 영향을 받을 수 있다. 파이어아이는 앞으로도 이 대규모 사업 이면에서 활동하는 사이버 공격을 추적해, 국내외 관계자들이 보안 태세를 갖출 수 있도록 기여할 것”이라고 전했다.

한편 오는 9월 10일 데일리시큐 주최로 국내 최고 정보보안 분석가들의 사이버위협 인텔리전스 정보 공유의 장 'K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스'가 한국과학기술회관 국제회의실에서 정부, 공공, 금융, 대기업 보안실무자 등 300명 이상이 참석하는 가운데 개최된다. 이 자리에서 '정부지원 추정 해커의 APT 공격 사례 연구' 등 민감한 해킹그룹들의 연구 발표가 있을 예정이다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★