중국의 악명 높은 APT 단체가 디지털 인증서 쪽으로 눈을 돌리기 시작했다. 인증서를 발급하는 인증 기관을 침해하기 시작한 것이다. 이 때문에 인증서 생태계에 비상등이 들어왔다. 그 어떤 것도 100% 신뢰할 수 없는 시대다.
[보안뉴스 문가용 기자] 중국 정부가 운영하는 것으로 알려진 APT 단체 빌버그(BillBug)가 디지털 인증서의 인증 기관들을 침해하기 시작했다. 대규모로 첩보를 수집하기 위한 캠페인의 일환으로 보이며, 인증 기관을 침해하기 시작한 건 지난 3월부터인 것으로 보인다. 인증 기관을 통해 표적을 침해하는 건 꽤나 우려스러운 일이라고 보안 전문가들은 경고하고 있다.
![[보안뉴스 / 11.17.] 중국의 APT 단체 빌버그, 대담하게도 디지털 인증서 인증 기관 노린다](http://www.boannews.com/media/upFiles2/2022/11/724620040_3090.jpg)
[이미지 = utoimage]
디지털 인증서란, ‘이 소프트웨어는 정상적인 제품입니다’라고 소비자들을 안심시키기 위한 장치다. 암호화 기술로 통신을 보호하는 상황에서 소통하고 있는 장비나 사용자를 인증하는 역할도 한다. 즉, 아무나 발급할 수 없는 표식이고, 그래서 인증 기관으로 선정된 단체들에서만 인증서를 부여할 수 있다. 그렇기에 인증 기관만 성공적으로 침해한다면 악성 소프트웨어를 정상 소프트웨어로 간단히 속일 수 있게 되는 것이다.
보안 업체 시만텍(Symantec)은 이번 주 보고서를 통해 “공격자들이 인증 기관을 침해하는 데 성공하면 멀웨어도 정상 소프트웨어로 둔갑시킬 수 있고, 암호화 된 트래픽을 가로채 열람할 수 있다”고 경고했다. “이번 공격 캠페인이 얼마나 성공적으로 진행되고 있는지는 더 조사해봐야 알겠지만, 대단히 위험한 일을 공격자들이 시도하고 있다는 것은 분명합니다.”
빌버그?
빌버그는 로터스블러섬(Lotus Blossom)이나 스립(Thrip)이라고도 불리는 중국 APT 조직이다. 주로 동남아시아 국가들의 정부 기관에 침투해 첩보를 캐낸다. 자잘한 정보가 아니라 군, 국방, 정부 기밀, 각종 통신사 기밀 등 큼지막한 정보들을 주로 노린다는 특징을 가지고 있다. 가끔씩 우주 항공 분야의 업체들을 침해하기도 한다. 최근엔 한 정부 기관의 네트워크에 침투해 다량의 컴퓨터들을 침해하는 데 성공하기도 했다.
시만텍의 수석 첩보 분석가인 브리지드 고르만(Brigid O Gorman)은 “빌버그는 최근 3월부터 9월까지 대규모 캠페인을 진행했다”며 “현재 확실히 끝났다고 말하기 어렵다”고 설명한다. “빌버그는 지난 수년 동안 갖가지 악성 캠페인을 진행해 본 경험을 가지고 있는 단체로, 경험이 매우 풍부합니다. 그렇다는 건 자신들의 흔적을 숨기는 데 일가견이 있다는 뜻이고, 그러므로 아직 저희가 이들의 행적을 다 발견하지 못하고 있을 가능성도 높습니다.”
어딘가 익숙한 공격 수법
인증 기관이든 정부 기관이든 빌버그는 애플리케이션 취약점을 익스플로잇 하는 전략을 가장 많이 사용한다. 익스플로잇을 통해 침투해 들어간 뒤에는 여러 가지 방법으로 코드를 실행할 수 있는 권한을 가져가고, 이 권한을 활용해 자신들이 주로 사용하는 멀웨어를 설치한다. 주로 하노톡(Hannotog)이나 세이지러넥스(Sagerunex)라는 커스텀 백도어가 활용된다. 이 백도어들을 통해 네트워크의 더 깊은 곳으로 침투한다.
더 깊은 곳으로 침투하는 단계에서 빌버그는 여러 가지 ‘리빙 오프 더 랜드(living-off-the-land)’ 전략을 활용한다. 즉 시스템에 존재하는 정상적인 유틸리티들을 자신들의 목적에 맞게 악용하는 건데, 이 때 활용되는 유틸리티들에는 AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail, WinRAR 등이 있다고 한다. 이 도구들을 통해 네트워크를 매핑하거나, 유출시킬 파일을 압축하거나, 엔드포인트 간 연결 경로를 파악하는 등의 행동을 실시한다.
“이렇게 리빙오프더랜드 전략을 사용한다는 건 빌버그가 은밀히 행동하기를 좋아한다는 뜻입니다. 리빙오프더랜드는 추적을 어렵게 만드는 전략이기 때문입니다. 그런데 또 이들은 자신들이 만든 커스텀 멀웨어도 즐겨 사용합니다. 커스텀 멀웨어는 각자의 독특함 때문에 사용자(즉 배후의 공격자)를 파악하는 게 쉽거든요. 서로 상충하는 특징을 모두 선보이고 있다는 점이 빌버그의 독특한 점입니다.” 고르만의 설명이다.
그들의 진짜 의중이 무엇이든 방어하는 입장에서 둘 다(리빙오프더랜드 전략과 커스텀 멀웨어) 막아야 한다는 사실에는 변함이 없다. “특히 리빙오프더랜드 전략은 탐지가 매우 어렵기로 소문이 자자합니다. 공격자들이 사용하는 게 정상적인 도구들이니까요. 그러니 기업들 입장에서는 일반적인 멀웨어 탐지 도구도 필요하지만, 정상적인 도구들의 수상한 행동 패턴을 모니터링할 방법도 있어야 합니다.”
시만텍은 아직 빌버그가 침해한 인증 기관에 대해 구체적으로 밝히지 않고 있다. 이름을 밝힘으로써 얻어낼 것이 아직은 없기 때문이다. 다만 해당 기관에만 은밀히 이러한 사실을 알려 현재 복구 절차를 밟고 있다고 한다. 공격의 성공 여부나 성공률 역시 아직은 비밀에 부쳐지고 있다. “디지털 인증서라는 것도 침해가 가능하고, 따라서 100% 신뢰할 수만은 없다는 걸 기억해야 합니다. 공격자들에게는 디지털 인증서의 생태계를 공략하려는 의중이 충분히 있거든요.”
그렇기에 고르만은 디지털 인증서에만 의존하는 보안 전략을, 심층적인 전략으로 강화해야 한다고 강조한다. “다양한 각도에서 이상한 현상들을 탐지하고, 여러 가지 위협들을 능동적으로 찾아 제거하는 등의 능동적인 보안 강화도 도움이 됩니다. 디지털 인증서만 확인하는 것으로는 충분하지 않은 게 요즘 소프트웨어 생태계 혹은 디지털 인증서 생태계의 현황입니다.”
3줄 요약
1. 중국의 한 APT 그룹, 디지털 인증서 발급 기관 노리기 시작.
2. 디지털 인증서가 침해되면 각종 멀웨어가 정상 소프트웨어로 둔갑함.
3. 인증서에 대한 신뢰도를 100%로 맞추면 허점이 생길 수밖에 없는 게 요즘 분위기.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 11.17.] 중국의 APT 단체 빌버그, 대담하게도 디지털 인증서 인증 기관 노린다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
