중국 정부를 위해 활동하는 5대 지능형지속위협(APT) 그룹이 지식재산 탈취를 목적으로 리눅스 서버, 윈도 시스템, 모바일 기기를 공격했지만 약 10년간 발각되지 않은 것으로 드러났다.
블랙베리는 '원격관리툴(RAT) 시대 리눅스와 윈도, 안드로이드를 겨냥한 범플랫폼 APT 스파이 공격' 보고서를 발표하면서 이 같이 밝혔다. 중국 정부와 연관된 5대 APT 그룹은 지난 10년 동안 목표물을 효과적으로 침해한 것으로 조사됐다. 공격을 노출하지 않으면서 방어 기술과 환경 변화에 빠르게 적응하고 자체 툴셋과 기술을 진화시켰다.
블랙베리 리서치인텔리전스팀은 “중국이 세계 열강 지위를 갖기 위해 사이버 스파이 활동에 지속 열을 올리는 상황”이라면서 “외국이 보유한 기술과 지식재산을 손에 넣어 글로벌 경쟁에서 우위에 서려고 한다”고 지적했다. 이어 “중국에 의한 지식재산 탈취는 새로운 이야기가 아니지만, 보안 측면에선 새로운 장이 열리고 있다”고 강조했다.
중국 5대 APT 그룹은 지식재산을 비롯한 정보가 새로운 환경으로 이동함에 따라 서로 도구를 공유하고 오픈소스 자원을 활용하며 정보 탈취를 위한 새로운 수법을 개발했다. 신기술뿐만 아니라 10년 전 효과가 있었던 공격 기술 다수는 현재까지 효과가 있는 것으로 나타났다. 공격자는 예전 기술을 반복해서 활용했다.
주요 분석 결과로는 △리눅스 서버를 겨냥한 정교한 공격 △중국 5대 APT 그룹 간 협력 체계 △금전과 첩보 목적 혼합 △민간 계약에 의한 공격자 채용 등이 포함됐다. 리눅스 서버는 보안 솔루션이 주로 적용되는 영역이 아니고 엔드포인트탐지대응(EDR) 솔루션으로도 대응이 어려워 공격 표적이 됐다. 중국 APT 그룹은 레드햇과 센트OS, 우분투 리눅스 환경을 공격하면서 스파이 활동과 지식재산 탈취를 수행했다.
블랙베리가 이번 보고서에서 지목한 중국 5대 APT 그룹은 보안업계에서 애초 '윈티(Winnti) 그룹'이라는 하나의 APT 그룹으로 묶여 분석된 바 있다. 이들 그룹은 개별로 활동하기보다 한 작전에서 활용한 기술을 다른 작전에서 즉시 활용하는 협업 체계를 보인다. 상호 간 협력하면서 다양한 플랫폼과 오픈소스 툴을 악용한다.
공격 목적도 여러 목적이 중첩되는 양상을 띤다. 5대 APT 그룹은 첩보를 수집하는 동시에 금전적인 이익을 추구한다. 네트워크를 공격하는 전통 공격 수법이 첩보를 수집하는 것뿐만 아니라 수익을 내는 데도 똑같이 효과적이라는 사실을 발견했기 때문이다.
연구진은 중국 5대 APT 그룹 구성원이 중국 정부 이익을 위해 일하는 민간 하청업체에 의해 채용되는 것으로 분석했다. 이는 정부와 하청업체 간 법적 제약이 거의 없는, 고도로 민첩한 사이버 범죄 생태계가 조성됐다는 사실을 의미한다고 연구진은 지적했다.
오다인기자 ohdain@etnews.com