일반적으로 해커들은 자신의 공격흔적을 감추려고 애를 쓴다. 파이어아이(FireEye) 최신 보고서를 보면, 중국 해커그룹 APT17은 마이크로소프트 테크넷(TechNet) 기술 커뮤니티를 공격 경유지로 이용하고 있으며, 이를 통해 악의적인 명령을 발송한다고 발표했다.
 
TechNet은 마이크로소프트 소속 기술지원 커뮤니티이며, 매일 높은 트래픽량을 보유하고 있는 사이트다.
 
분석 내용을 살펴보면, 비록 TechNet 웹사이트 자체에 취약점이 존재하지 않지만 APT17 해커그룹이 마이크로소프트 TechNet 웹사이트의 일반 사용자 메인 페이지와 포럼 post에 암호화된 IP주소를 올려, 자체 개발한 악성 소프트웨어 ‘BLACKCOFFEE’에 업그레이드 정보와 작동 명령을 전송한다. 이러한 암호화 방법을 사용하면 해커가 사용하는 실제 도메인 주소를 추적하기 어렵게 된다.
 
파이어아이와 마이크로소프트는 이미 해커들이 사용하는 계정을 찾아내, 그들의 메인 페이지 액세스 권한을 차단했다.
 
APT17 해커그룹은 얼마 전, 검색엔진 구글과 빙(google과 bing)을 이용을 이미 제어된 도메인 네임 리스트와 명령을 저장했고, 이번엔 TechNet 웹사이트를 선택한 것이다. 많은 기업들이 마이크로소프트 서비스를 제공받기 때문에 만약 강제 중지하면 보다 큰 피해를 볼 수 있다는 점을 노린 것으로 추정된다.
 
파이어아이 보안전략 책임자 Jason steer는 “가령 해커가 전송하는 악성 데이터를 탐지했다 하더라도 마이크로소프트 웹사이트 트래픽을 옮길 수 없다. 왜냐하면 많은 기업들이 이를 떠날 수 없기 때문이다”라고 밝혔다.
 
APT17이 추적을 회피하기 위해 IP주소 암호화 방법을 사용했듯 해커들은 자신의 주소지를 감추기 위해 갖은 수단을 동원하기 때문에 사이버수사대는 추적이 어려운 실정이다.
 
이외에도 ‘APT17’는 2013년 보안업체 bit9을 공격한 혐의를 받고 있으며, 미국정부기관, 방산업체, 변호사 사무소, 정보기술업체와 광산업체를 공격했던 이력도 가지고 있다.
(뉴스제공. 국내 최대 중국 해킹 보안 정보 서비스 기업 씨엔시큐리티 / www.cnsec.co.kr)
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com