이석원 기자
지난 2월 네덜란드 군정보보안국(MIVD)과 종합정보보안국(AIVD)은 중국 정부 지원을 받은 해커가 네덜란드 국방부 등에서 사용되는 차세대 방화벽 포티게이트(FortiGate) 네트워크에 침입했다고 보고했다. 이후 조사 결과 MIVD는 기기 2만 대가 중국 해커 피해를 입었다고 밝혔다.
MIVD에 따르면 중국 해커는 2022년부터 2023년까지 수개월 동안 포티OS(FortiOS)와 포티프록시(FortiProxy)에 존재하는 취약점인 CVE-2022-42475를 악용해 포티게이트 네트워크 보안 어플라이언스에 코트행거(COATHANGER)라고 불리는 멀웨어를 배포했다. 서방 정부, 국제기구 수십 곳, 다수 방위산업 관련 기업 등 네트워크에 침입한 코트행거는 자동으로 백도어를 설치한다.
2024년 2월 보고 이후에도 MIVD와 AIVD는 조사를 계속했고 중국 사이버스파이 활동이 지금까지 알려진 것보다 훨씬 광범위했다는 게 드러났다고 밝혔다. 구체적으로는 CVE-2022-42475 취약점 악용 기간 동안 코트행거가 기기 1만 4,000대에 감염됐고 공개 후에도 패치를 적용하지 않은 기기를 계속 공격해 2022년에서 2023년 사이 포티게이트 시스템 최소 2만 대에 접근했다고 한다.
MIVD에 따르면 코트행거는 스캐너로부터 멀웨어 존재를 숨기는 은폐성과 재부팅, 펌웨어 업데이트에도 견딜 수 있는 지속성을 갖추고 있다. 따라서 한번 코트행거에 침투를 허용하면 제거가 어렵다. MIVD는 코트행거가 침투하면 중국 정부는 포티게이트 시스템에 대한 영구적 접근이 가능해지며 피해자가 포티게이트에 보안 업데이트를 설치해도 중국 정부는 피해자 기기에 대한 접근을 유지할 수 있다고 지적했다.
또 실제로 코트행거를 설치한 피해자 수는 불명확하지만 네덜란드 정보기관과 사이버보안센터 NCSC는 중국 정부 지원 해커가 공격 범위를 더 넓히고 데이터 절취 등 추가 행동을 취할 가능성이 있다고 보고 있다고 말했다.
보도에선 감염된 포티게이트 기기에서 코트행거를 제거하는 유일한 방법은 기기를 포맷하고 재설치, 재구성하는 것이라고 전했다. 더불어 네덜란드 국방부는 코트행거를 탐지하기 위한 YARA 규칙, JA3 핑거프린트 등 방법을 특정했다고 보고했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
