탐지가 매우 까다로운 APT 단체가 발견됐다. 중국 정부와 관련이 있어 보이며, 자신들의 흔적을 감추는 데에 특히 열심이라 탐지하거나 추적한다는 게 쉽지 않다. 현재까지 정보로만 봤을 때는 미국과 괌의 사회 기반 시설이 주요 표적인 것으로 보인다.
[보안뉴스 문가용 기자] 최근 발견된 중국의 APT 단체인 볼트타이푼(Volt Typhoon)이 조호(Zoho)의 매니지엔진 애드셀프서비스 플러스(ManageEngine ADSelfService Plus)의 제로데이 취약점을 익스플로잇 한다는 사실이 드러났다. 볼트타이푼은 뱅가드판다(Vanguard Panda)라고도 불리며, 애드셀프서비스플러스는 일종의 싱글사인온 비밀번호 관리 솔루션이다.
![[보안뉴스 / 6.27.] 중국의 APT 볼트타이푼, 대만 공격을 위한 발판 마련하고 있나](http://www.boannews.com/media/upFiles2/2023/06/187874722_7008.jpg)
[이미지 = gettyimagesbank]
볼트타이푼이 보안 업계의 관심사가 된 것은 지난 달의 일이다. MS와 여러 정부 기관이 합동으로 발표한 보고서 덕분이었다. “볼트타이푼이라는 중국 APT가 태평양 지역의 사회 기반 시설을 감염시키고 있다”는 내용의 이 보고서를 통해 중국이 미래에 벌어질지 모르는 대만과의 전쟁을 준비하고 있다는 것이 널리 알려졌던 것이다. 당시 볼트타이푼이 포티넷(Fortinet)의 포티가드(FortiGuard)를 통해 최초 침투를 해낸 후 라우터, 방화벽, VPN 하드웨어를 침해하여 피해자 네트워크에서 활동하는 것으로 밝혀졌다.
하지만 보안 업체 크라우드스트라이크(CrowdStrike)가 최근 분석한 바에 따르면 볼트타이푼은 매우 유연한 공격 단체이며, 정찰 활동을 통해 얻은 정보에 따라 여러 가지 전략과 전술을 활용할 줄 아는 것으로 밝혀졌다고 한다. 크라우드스트라이크는 볼트타이푼이 포티넷이 아니라 매니지엔진(ManageEngine)의 CVE-2021-40539 취약점을 익스플로잇 하고 있는 것을 목격했다고 경고했다.
“볼트타이푼은 꽤나 긴 시간 동안 피해자의 네트워크에 머무르며 공격을 준비합니다. 그러면서 공격에 결정적인 역할을 할 정보를 캐내고 동시에 자신들의 흔적을 부지런히 지워냅니다.” 크라우드스트라이크의 글로벌 서비스 부문 수석인 톰 에더리지(Tom Etheridge)의 설명이다.
진화하느느 볼트타이푼의 사이버 전략
크라우드스트라이크의 연구원들은 처음에 한 클라이언트의 네트워크에서 수상한 활동 패턴을 발견하면서 조사를 시작하게 됐다고 한다. “당시로서는 알 수 없는 공격자가 저희 클라이언트 네트워크에서 꽤나 방대한 양의 자료를 수집하고 있었고, 네트워크 연결 상태를 다양하게 실험해 보기도 하고, 프로세스들의 목록을 만들기도 했습니다. 피해자의 네트워크 환경에 대하여 아주 잘 알고 있는 것처럼 자유자재로 움직였죠. 내부 호스트이름과 IP 주소들을 원격에서 잘도 활용하고 있었습니다.”
수상해도 너무 수상해서 추적을 했더니 공격자가 이미 6개월 전에 웹셸을 심어 드나들고 있었다는 것을 알게 됐다. 6개월이나 아무도 몰랐다니 어떻게 된 일이었을까? 이 의문을 해결하기 위해 조사를 더 진행했을 때 공격자들이 오래된 원격 코드 실행 취약점인 CVE-2021-40539를 익스플로잇 해서 침투했음을 발견할 수 있었다. 애드셀프서비스 플러스에서 발견된 9.8점짜리 취약점이었다.
“이 취약점을 통해 접근에 성공한 공격자들은 웹셸을 피해자의 장비에 심을 수 있었습니다. 흥미로운 건 그 웹셸이 매니지엔진 애드셀프서비스 플러스의 정상적인 파일인 것처럼 위장되어 있었다는 겁니다. 파일 이름이 벌써 ‘매니지엔진 애드셀프서비스 플러스’였고, 정상적인 기업용 헬프데스크 소프트웨어와도 연결되어 있었습니다.” 에더리지의 설명이다.
여기까지 공격을 진행한 볼트타이푼은 네트워크에 머물며 여러 가지 정보를 훔쳐가기 시작했다. 관리자 크리덴셜을 훔치는 것이 목표인 것으로 분석되며, 원하는 크리덴셜을 가져가는 데 성공할 경우 네트워크 내에서 횡적으로 움직여 네트워크를 계속해서 염탐했다. 자신들의 흔적을 지우며 조심스럽게 움직였고, 자동화 기술은 사용하지 않았다. “그쪽에서 살짝 실수가 있었고, 그것 때문에 저희도 이들을 발견할 수 있었습니다. 그 조금의 실수가 아니었다면 이들은 아직도 들키지 않았을 수 있습니다.” 에더리지의 설명이다.
볼트타이푼의 공격, 어떻게 막을까
현재까지 볼트타이푼의 주된 표적은 통신사, 제조사, 운송 및 교통 관련 기업, 건설사, 해양 산업 내 조직, 정부 기관, IT 기업, 교육 기관들인 것으로 조사되고 있다. 하지만 가장 눈에 띄는 표적은 미국과 괌의 사회 기반 시설인 것으로 현재까지는 분석되고 있다. 중국으로부터 대만을 보호하기 위해서는 반드시 정상적으로 작동해야만 하는 미국의 자산들이 공격 목표라는 것이다.
에더리지는 “볼트타이푼이 현재까지 진행한 공격들 중 크라우드스트라이크가 이번에 발견한 것은 일종의 OT 공격이라고 봐도 무방하다”고 설명한다. “그러므로 볼트타이푼에 대해 염려해야 하는 조직은 OT 유형의 환경을 갖추고 있거나 그런 환경을 관리하는 기업이나 기관입니다. 특히 사회 기반 시설로 분류되는 곳들이라면 볼트타이푼에 관한 소식을 지속적으로 접하는 것이 안전합니다.”
그러면서 에저리지는 “아이덴티티와 관련된 보안 강화가 가장 우선시 되어야 한다”고 귀띔한다. “이미 아이덴티티 관리 문제는 거의 모든 기업들의 난제입니다. 공격자들도 이 점을 잘 알고 있기 때문에 수년 전부터 각종 크리덴셜을 훔치는 데 혈안이 되어 있지요. 지금도 매일처럼 크리덴셜 관련 사고가 발생하고 있고요. 볼트타이푼도 훔친 크리덴셜을 적극 활용하고 있기 때문에 오랜 시간 들키지 않고 활동할 수 있었던 것입니다.”
3줄 요약
1. 중국의 APT 볼트타이푼, 미국과 괌의 OT 환경 집중적으로 공략 중.
2. 자신들의 흔적을 감추는 데에 매우 열심이라 어지간해서는 찾기 힘듦.
3. 가장 최근에는 매니지엔진의 싱글사인온 서비스의 제로데이를 익스플로잇.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.27.] 중국의 APT 볼트타이푼, 대만 공격을 위한 발판 마련하고 있나](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
