[데이터넷] 원숭이도 나무에서 떨어질 때가 있다. 아무리 고도로 훈련된 공격자라도 공격 활동 중 실수를 하게 되며, 방어자는 이를 탐지해 대응할 수 있다. 현재까지 알려진 가장 높은 수준의 공격 그룹인 선버스트(SUNBurst) 공격그룹 역시 허점을 남겨두기 때문에 추적·조사할 수 있다.

맨디언트가 최근 공개한 ‘솔라윈즈 공급망을 활용하고, 선버스트 백도어로 다수의 글로벌 기업을 공격하는 강력한 회피형 공격자’ 보고서에서 솔라윈즈 공급망 공격을 벌인 것으로 추정되는 그룹을 추적해 그들이 남겨둔 공격 증거, 실수, 허점을 통해 이들의 활동을 분석하고 공개했다.

맨디언트는 UNC3004와 UNC2652라는 두 가지 활동 클러스터가 확인됐으며, 마이크로소프트가 ‘노벨륨’이라고 명명한 UNC2452와 연관 있을 것으로 추측했다. 이들은 러시아 배후의 공격자들로 구성돼 있을 것으로 의심되고 있으며, 전 세계 정부와 기업을 대상으로 공격을 이어가고 있다.

이들은 2020년 이후 여러 기술 기업과 서비스·리셀러 기업에 침투하고 있으며, 협력하는 다른 공격자가 정보 탈취 멀웨어를 통해 획득한 자격증명을 사용해 피해 조직에 침투한다. 그리고 침해 활동을 들키지 않고 수평이동하는 다양한 기술을 사용한다. 지난 1분기에는 중요한 메일 데이터를 수집하기 위해 애플리케이션 가장(Application Impersonation) 권한 계정을 사용한 것도 발견됐다.

가상 사설 서버(VPS)를 활용해 공격 대상자와 동일한 국가에서 보낸 IP 주소만을 사용해 탐지를 회피했으며, 원격 액세스에 사용되는 것과 다른 여러 자격증명을 사용해 침해 범위를 넓혀갔다. 합법적인 유틸리티를 공격자의 것으로 바꾸고 페이로드를 실행한 후 합법적인 원본 파일을 복원하고, 원격 액세스를 실행한 후 백도어를 제거하는 등 증거를 삭제하는 치밀함도 보였다.

이들은 피해 조직의 내부 라우팅 구성을 확인할 수 있는 가상머신을 추출하는 등 조직 내 보안을 우회하는 새로운 전술과 기법, 절차(TTPs)를 사용하며, ‘CEELOADER’라고 불리는 새로운 맞춤형 다운로더를 사용했고, 스마트폰 푸시 알림을 이용한 다중인증 기능을 오용해 보안 탐지를 회피하면서 공격을 이어갔다.

대부분의 공격활동은 러시아 이익과 관련된 데이터를 탈취하는 것이었으며, 다른 피해 기업으로 접근할 수 있는 새로운 경로를 만들기 위한 데이터 탈취도 감지됐다. 공격자들은 피해 기업 환경에 지속적으로 액세스를 유지하고, 탐지를 방해하며, 공격자 식별에 혼란을 주기 위해 계속해서 기술과 거래 방식을 혁신하고 새로운 방법을 찾고 있다.

맨디언트는 “솔라윈즈 공격 배후 그룹은 최고 수준의 작전과 보안, 스파이 활동에 필요한 고급 기술을 구현하고 있지만, 그들 역시 허점을 보인다. 맨디언트는 공격자가 초기 침투, 발판 구축, 데이터 수집 및 측면 이동, 위협 행위자의 인프라 프로비저닝 방법과 타협 지표에 사용되는 TTPs를 관계 기관 및 기업들과 공유해 확실한 방어를 할 수 있도록 지원한다”며 “맨디언트는 계속해서 해당 그룹의 활동을 밝혀내고 그들의 실수로부터 교훈을 얻고 있습니다. 궁극적으로 이 그룹은 적응력이 있고, 계속해서 진화하는 위협이기 때문에 그들보다 한발 앞서기 위해서는 면밀히 연구할 것”이라고 밝혔다.

김선애 기자 다른기사 보기