재택근무 시 보안·관리 소홀로 피해 입을 가능성 높아
리눅스 기반 클라우드·오픈소스 도구 위협 가중
[데이터넷] 코로나19로 재택근무가 늘어나면서 보안 문제가 연일 터져나오고 있다. 이러한 가운데 블랙베리가 중국 정부의 후원을 받는 APT 그룹이 재택근무 환경의 취약점을 노리고 공격 캠페인을 벌이고 있다고 주장해 주목된다. 블랙베리는 공격자들은 10년 동안 리눅스 서버에 침투해 스파이 활동을 벌여왔으며, 재택근무 기간을 노리고 공격도구를 미리 침투시켰던 것으로 분석됐다.
블랙베리의 ‘RAT의 10년(Decade of the RATs)’이라는 보고서에 따르면 APT 그룹이 안드로이드로 구동되는 리눅스 서버와 윈도우 시스템, 모바일 디바이스를 전략적으로 공격해온 것으로 드러났다. 이 보고서는 미 법무부가 56개의 FBI 현장 사무소에서 공개한 수사 중 1000건 이상이 관련된 지적 재산(IP)을 노린 경제 스파이 활동에 대한 인사이트를 제공한다.
블랙베리는 이 보고서에서 공격자들이 재택근무 환경을 노리고 공격툴을 이미 심어놨으며, 재택근무 확대로 핵심 시스템 보안 유지 인력이 줄어들어 위험이 더욱 악화되는 결과를 초래하게 됐다고 지적했다. 재택근무 중에도 중요한 지적재산의 대부분은 리눅스 기반 엔터프라이즈 데이터센터에 남아있는데, 이를 보호하고 침해 시 대응하는 준비가 미비하다는 점을 지적했다.
더불어 리눅스 기반 클라우드 인프라와 크로스 플랫폼 및 오픈소스 도구로 인해 이 같은 위협은 더욱 가중된다고 설명했다.
리눅스, 다른 공격 위한 교두보로 사용
이 보고서에서는 5개의 APT 그룹에 대해 소개하고 있는데, 이 중에는 중국 정부와 계약을 맺은 민간 전문가도 포함돼 있다. 이 중 윈티(WINNTI) 스타일의 도구를 사용하는 공격자는 전략적으로 엔터프라이즈 네트워크 환경에서 중요한 역할을 하는 리눅스 서버를 목표로 삼았으며, 10년 가까이 감지되지 않고 스파이 활동을 이어갔다.
이들은 레드햇엔터프라이즈(Red Hat Enterprise), 센트OS(CentOS), 우분투리눅스(Ubuntu Linux) 환경을 대상으로 활동했다. 이들이 목표로 하는 리눅스 서버는 EPP·EDR 등 강력한 엔드포인트 보호와 탐지·대응 제품이 적절하게 적용돼 있지 않다.
리눅스 서버는 항상 켜져있고 항상 접속 가능하며, 제대로 된 방어능력이 없어 공격 경로로 사용하기에 최적화돼다. 그래서 공격자들은 다른 공격을 위한 교두보로 리눅스 서버를 사용하고 있다.
실제로 넷크래프트와 리눅스 파운데이션이 조사한 바에 따르면 리눅스는 상위 100만 개의 웹사이트를 거의 대부분 온라인으로 운영하고, 모든 웹 서버의 75%, 전 세계 슈퍼 컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있다.
대부분의 대기업은 홈페이지를 운영하고, 네트워크 트래픽을 프록시하며, 중요한 데이터를 저장하는 데 리눅스를 사용한다.
리눅스 보안 취약점 이용 공격 심각
블랙베리가 주목한 공격그룹은 원조 윈티 그룹, PASSCV, 브론즈 유니온(BRONZE UNION), 캐스퍼/리드(CASPER/LEAD) 등이며, 블랙베리 연구진이 ‘WLNXSPLINTER’라고 명명하고 추적하고 있는 새로운 그룹도 있다. 이들은 도구, 전술 및 절차(TTP)에서 뚜렷한 유사성을 보이며 공통의 리눅스 멀웨어를 사용하고 있다.
윈티 그룹이 사용한 악성코드는 2014년 9월 처음 식별된 대규모 리눅스 XOR 디도스 봇넷에서 사용된 악성코드와 유사하다. 블랙베리 연구진은 두 개체의 유사한 정도를 바탕으로 해당 봇넷이 윈티 그룹이 개발한 도구라고 판단했다.
이 보고서에서 검사한 PASSCV 안드로이드 임플란트는 안드로이드 용 침투 테스트 도구로 판매되는 넷와이어(NetWire)와 매우 유사하지만, 해당 멀웨어는 넷와이어 도구가 처음 구매 가능하게 되기 거의 2년 전 컴파일(compile) 된 것으로 판단된다.
APT 그룹은 기존에는 비디오 게임 회사를 겨냥해 멀웨어 서명용 인증서를 도용했으나, 최근에는 비슷한 목적으로 애드웨어 공급 업체를 침해하기 시작한 것으로 드러났다. 대규모 조직에서 일반적으로 받는 대량의 무해한 애드웨어 경보 내에 멀웨어를 숨겨 네트워크 방어자를 우회함으로써, 탐지를 더욱 어렵게 하기 위해 수행된 것으로 보인다.
에릭 코넬리우스(Eric Cornelius) 블랙베리 최고 제품 아키텍트는 “대부분의 보안 업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중하기 때문에 일반적으로 사용자 대면이 아닌 리눅스에 대한 커버는 희박하다”며 “APT 그룹은 이런 보안 격차를 정조준하고, 타깃 영역의 지적 재산을 탈취하려는 이익을 위해 수년간 아무도 모르게 이 점을 악용해 왔다”고 밝혔다.
