중국의 APT 단체가 러시아를 본격적으로 공략하기 시작했다. 파괴적인 목적을 가지고 있지는 않고 정보를 적극적으로 수집하는 중인데, 지금의 정세가 얼마나 혼란스러운지를 보여주는 대목이다.

[보안뉴스 문가용 기자] 우크라이나의 컴퓨터 침해 대응 센터(CERT)가 중국의 사이버 정찰 행위에 대해 새로운 경고를 발표했다. 놀랍게도 중국 정부의 지원을 받는 해커들은 현재 러시아 조직들을 겨냥한 사이버 공격을 실시하고 있다고 하며, 수위도 높은 수준이라고 한다. 러시아 정부의 다음 움직임에 중국도 적잖은 관심을 가지고 있는 것으로 보인다.

[보안뉴스 / 7.8.] 중국의 APT 정찰 단체 톤토팀, 러시아 향한 공격 수위 높여

[이미지 = utoimage]

우크라이나 CERT에 의하면 중국의 해커들은 정부의 공식 권고문처럼 보이는 가짜 RTF 문서들을 공격 대상들에게 보내고 있으며, 피해자가 이 파일을 다운로드 받아 열 경우 마이크로소프트 오피스의 원격 코드 실행 취약점이 익스플로잇 된다고 한다. 이와 관련한 내용을 보안 업체 센티넬원(SentinelOne)에서도 발표했다. 센티넬원에 의하면 미끼 문서는 러시아어로 작성되어 있으며 마치 보안 관련 경고문인 것처럼 보인다고 한다.

러시아를 겨냥한 사이버 공격 수위, 점점 높아져
중국이 러시아를 사이버 공격 대상으로 삼은 건 새삼스러울 것이 없는 일이다. 마찬가지로 러시아 역시 중국을 알게 모르게 공격해왔다. 하지만 최근처럼 공격의 수위가 높았던 적은 없었다고 센티넬원의 수석 위협 연구원인 톰 헤겔(Tom Hegel)은 설명한다. 참고로 공격을 수행하고 있는 해킹 팀의 이름은 톤토팀(Tonto Team)이라고 한다.

“톤토팀은 최근 꽤나 거세게 러시아를 공격하고 있습니다. 공격 수위가 너무 높아서 낯설게 보일 정도입니다. 중국 정부가 최근 러시아 내부 첩보를 상당히 많이 수집하고 있는 것으로 추정됩니다. 그러면서 해킹 부대들에 대한 지원 역시 그리로 좀 더 많이 할당된 것이 아닐까 합니다.”

최근 중국과 러시아는 외교적인 측면에서 이전보다 더 가까워지고 있다. 러시아가 우크라이나를 침공하고 서방 세계에서 각종 제재를 러시아에 가하면서 러시아가 쳐다볼 곳은 사실상 중국뿐이기 때문이다. 두 나라는 공식 동맹국은 아니지만, 무역과 안보 파트너로서 오랜 기간 깊은 관계를 유지해 왔고, 공동으로 서방 국가들과 대치해 왔다.

하지만 두 나라는 목적을 달성하는 데에 있어서는 사뭇 다른 모습을 보인다. 러시아는 사이버 갱단들이 러시아의 영토 내에서 활동할 수 있도록 은밀히 허락을 해 주고 있으며, 이들과 암묵적으로 손을 잡고 적국의 첩보를 훔치거나 사회 기반 시설을 공격한다. 또한 각종 허위 정보 및 가짜뉴스 유포 캠페인도 적극 벌이는 편이다. 적국의 사회적 혼란을 유발하는 것이 주요 목적인 것으로 보이기도 한다.

반면 중국은 서방 세계들과의 무역을 활발히 진행하면서 적잖은 부를 누리고 있는 나라다. 그러므로 중국은 해커들을 러시아에 비해 덜 공격적인 접근법을 택한다. 대신 해외의 기술 관련 정보 및 지적재산을 훔쳐내는 데 집중한다. 사업적으로 활용할 수 있고, 현금화 할 수 있는 정보가 중국 해커들에게는 우선순위를 차지한다. “그런 중국에 있어 러시아도 유용한 정보를 가지고 있을 만한 나라 중 하나일 뿐이죠.” 헤겔의 설명이다.

“중국은 경제적으로 부강해지는 것에 나라 운영의 초점을 맞추고 있습니다. 지금은 전쟁과 인플레이션 각종 위기들이 겹쳐 매우 혼란스러운 시기인데요, 그렇기 때문에 더더욱 정보가 필요한 겁니다. 러시아의 움직임과 의도를 조금이라도 더 먼저, 정확하게 파악해 자신들이 전략을 수정하고 결정하려는 것이죠.”

우크라이나의 CERT나 센티넬원은 이번 캠페인에 사용된 두 가지 멀웨어를 보고 중국을 의심할 수 있다고 설명한다. “하나는 로얄로드(Royal Road)라고 하는 악성 문서 제작 도구이고, 다른 하나는 바이소날(Bisonal)이라고 하는 원격 접근 트로이목마(RAT)입니다. 둘 다 중국 해커들, 특히 APT 단체들이 자주 사용하죠. 또한 톤토팀은 원래 한국, 일본, 미국, 대만 등을 주로 노려왔던 팀인데, 최근 들어 러시아와 파키스탄 등에 더 주력하고 있기도 합니다.” 헤겔의 설명이다.

“현재까지 발견된 바에 따르면 최소 7개의 중국 APT 단체들이 로얄로드를 사용해 악성 문서를 만들어 공격 대상을 공략하는 것으로 알려져 있습니다. 예를 들어 지난 4월, 사이버 위협 첩보 회사인 도메인툴즈(DomainTools)도 로얄로드로 만들어진 악성 문건이 사용되는 캠페인을 발견한 적이 있었습니다. 당시 캠페인의 배후에도 중국 스파이 그룹이 있었고, 표적은 러시아의 해저 연구 및 무기 개발 조직이었습니다.” 우크라이나의 CERT는 바이소날이 “중국 해킹 조직만 사용하는 도구”라고 경고했다.

헤겔은 “이러한 소식은 중국과 러시아만의 문제가 아니라는 걸 기억해야 한다”고 강조한다. “세계 정세에 따라, 그리고 상황에 따라 APT 공격자들은 국가의 지원을 받고 얼마든지 다양한 조직들을 공략할 수 있습니다. 단지 정부나 군 기관만 골라서 공격하는 게 아닙니다. 기업들도 얼마든지 공격 대상이 될 수 있고, 되어 왔습니다. CISO들과 보안 담당 팀은 APT와 관련된 활동들도 눈여겨 보고, 그들의 침해지표 역시 알아두는 게 좋습니다. 지금은 지정학적인 긴장감이 넘쳐나는 때이거든요. 하루아침에 APT 단체의 표적이 된다고 해도 이상할 것이 없습니다.”

3줄 요약
1. 중국, 러시아 겨냥한 공격의 수위를 크게 높였음.
2. 정세가 워낙 혼란스러워서 러시아의 움직임이 크게 궁금한 모양.
3. 이제 누구라도, 어떤 조직이라도 APT 단체의 공격 대상이 될 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>