사이버 공간에서 중국발 위협이 날로 증가하고 있다. 이번에는 네덜란드 정보기관은 중국 정부 지원을 받은 사이버 해커가 자국 군사망을 침해했다고 발표했다. 네덜란드가 중국에 의한 사이버 공격을 공개적으로 인정하는 건 이번이 처음이다.
네덜란드 군 정보보안국 MIVD와 종합정보보안국 AIVD는 2024년 2월 6일 중국 사이버 스파이 활동 증거가 되는 중국제 악성코드가 2023년 발견됐다고 발표했다. 당국은 네덜란드와 동맹국에 대한 중국 국가 정치 간첩 활동 일환으로 중국을 비난하고 있다.
발표에 의하면 중국 해커가 침입한 건 기밀 취급이 아닌 연구 개발에 사용되던 군내 네트워크였다고 한다. 이 네트워크는 관계자 50명이 이용하고 있었지만 세그멘테이션된 자기 완결형 시스템이었기 때문에 방위 네트워크는 침해되지 않았다고 당국은 밝히고 있다.
네덜란드 국방장관은 MIVD가 중국 해커 활동 방법에 관한 기술 보고서를 공개하기 시작한 건 이번이 처음이라며 해당 사이버 스파이 활동에 대한 국제적 대항력을 높이는데 중요하다고 밝혔다.
MIVD와 AIVD가 공동 발표한 보고서에선 이번에 발견한 중국 악성코드를 코트행거(COATHANGER)라고 명명했다. 이는 주부에 의한 남편 살인 사건을 묘사한 단편 소설(Lamb to the Slaughter) 한 구절과 관련된 호칭으로 작중 아내가 아무 것도 모르는 남편을 살해하기 직전 남편 코트 옷걸이에 거는 상징적 장면이 유래라고 한다.
코트행거는 미국 보안기기 제조사인 포티넷이 개발한 어플라이언스에 침입하기 위해 개발된 원격 액세스형 트로이목마로 스캔에서 멀웨어 존재를 은닉하는 스텔스성과 재시작, 업데이트를 견딜 수 있는 연속성을 갖추고 있다. 보고서에선 코트행거 임플란트가 지속적이며 재부팅할 때마다 시스템 부트 절차에 자신의 백업을 넣어 부활한다는 점이라며 더구나 감염은 펌웨어 업데이트에도 견딜 수 있다고 지적하고 있다.
네트워크에 침입한 코트행거는 포티게이트 기기에 존재하는 것으로 알려진 취약성인 CVE-2022-42475를 노려 표적에 백도어를 설치시킨다고 한다. 당국은 해킹과 악성코드 개발 모두 중국 국가 지원을 받은 공격자에 의한 것이라고 확신한다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.