중국, 러시아, 북한 등 해커가 전 세계를 대상으로 사이버 공격을 펼치고 있다는 소식이 연일 보도되면서 IT 기업과 보안 벤더는 이런 싸움 최전선에 서 있습니다. 10월 31일 보안 기업 소포스(Sophos)는 2018년부터 2023년까지 중국 기반 여러 위협 행위자에 대응해 온 활동 기록을 공개했다.
소포스는 퍼시픽 림이라는 제목을 내건 이번 보고서에서 자사는 5년 이상 여러 중국 그룹이 소포스 방화벽을 공격하는 데 사용한 봇넷, 새로운 익스플로잇, 맞춤형 악성 코드를 조사해 왔다고 밝혔다.
정부, 법 집행 기관, 다른 보안 벤더와 협력해 수행한 조사 결과 소포스는 신뢰도를 다르게 해 이들 사이버 공격을 볼트 타이푼(Bolt Typhoon), APT31, APT41(Winnti)과 연결할 수 있었다고 한다. 그 중에서도 중국 쓰촨성이 익스플로잇 조사 및 개발 거점으로 확신할 수 있다는 결론에 도달했다.
2018년 첫 공격 시작은 네트워크 디바이스가 아닌 소포스 인도 자회사 사이버롬(Cyberoam) 본사 빌딩에 대한 공격에서 비롯됐다. 2018년 12월 4일 소포스 보안팀 분석가는 네트워크 스캔을 실행 중인 디바이스를 탐지했으며 그 출처를 추적한 결과 사이버롬 사무실 벽걸이 디스플레이에 영상을 송출하기 위한 권한이 낮은 PC에 원격 접근형 트로이 목마(RAT)가 심어져 있음을 발견했다.
당초 클라우드 스누퍼(Cloud Snooper)라는 공격자는 비교적 단순한 방법을 사용하는 것으로 보였지만 조사가 진행될수록 전례 없이 대규모 및 복잡한 공격 방식을 사용하는 것으로 드러났다. 당시 클라우드 스누퍼 소속은 불분명했지만 소포스는 이게 네트워크 디바이스를 목표로 하는 악성코드 개발을 위해 정보를 수집하려는 중국 측 첫 시도였다고 평가했다.
중국 해커는 2020년 초부터 2022년까지 여러 캠페인을 통해 본격적인 공격을 시작했다. 그 중에서도 2020년 4월 주요 공격인 Asnarök(CVE-2020-12271)은 네덜란드 국가 사이버 보안 센터(NCSC)와 협력해 Asnarök 악성코드 C2 서버를 압수하는 대규모 수사로 이어졌다.
또 Asnarök와 퍼스널 판다(Personal Panda)로 명명된 다른 공격을 통해 취약점 연구를 공개하는 버그바운티 보고자와 해커 조직 간 관련성이 밝혀졌다. 두 조직이 쓰촨성 청두시에 본거지를 두고 있다는 점을 근거로 소포스는 청두 교육기관을 중심으로 한 연구 커뮤니티가 취약점 연구 결과를 보안 벤더와 중국 정부의 사이버 공격을 대행하는 조직에 공유하고 있을 가능성이 중간 정도 신뢰도로 추측된다고 말했다.
2022년 중반부터 중국 공격자는 정부 기관, 인프라, 연구 기관, 공공 기관, 군 관련 기업 등 특정 조직을 대상으로 정밀 타깃 공격을 수행하기 시작했다. 이런 공격은 자동화된 공격이 아닌 공격자가 직접 명령을 실행해 침입된 디바이스에서 공격을 수행하는 적극적 적대자 스타일이 특징이다. 또 메모리에서만 동작하는 악성코드, 고급 지속성 기술, 침해된 네트워크 디바이스를 대규모 프록시 네트워크로 전환하는 방식으로 탐지를 회피하는 다양한 스텔스 기술을 갖추고 있다.
많은 경우 소포스는 방어적인 입장에 처했지만 코로나19 관련 정보 조작에 관여했던 쓰촨성 기업(Sichuan Silence Information Technology)에 대한 조사에서는 공격자 장치를 역해킹해 공격자가 텍스트 에디터에서 코드를 작성하는 장면을 관찰하는 데 성공하기도 했다.
소포스는 중국 해커와의 전반적인 싸움에 대해 위협 행위자는 5년 넘게 집요한 공격을 수행해 왔다며 이들은 풍부한 자원을 가지고 있으며 인내심이 강하고 창의적일 뿐만 아니라 펌웨어 내부 아키텍처에 대한 탁월한 지식을 보유한 것으로 보인다면서 소포스가 설립된 지 40년이 넘었지만 이번 조사에서 지금까지 거의 보기 힘들었던 수준으로 악의적 활동이 속속 드러나고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.