로이터, 더레지스터 등 여러 외신이 충격적인 사이버 보안 관련 소식을 보도했다. 이스라엘 사이버 보안 기업 체크포인트(Check Point)가 중국 해커 집단 APT31이 미국 국가안보국(NSA)의 해킹 작전을 악용한 사이버 공격을 개시한 사실을 발견했다.
엡미와 지안
체크포인트 연구팀은 APT31이 NSA의 해킹 툴 엡미(EpMe)를 탈취한 뒤, 이를 변형한 멀웨어 지안(Jian)을 생성한 사실을 발견했다. APT31은 2014년에 엡미를 복제하고 지안을 제작했다. 그리고, 지안은 2015년부터 2017년 3월까지 여러 차례의 사이버 공격에 악용됐다.
그러나 연구팀은 지안이 어떻게 악용되었는지는 분명히 밝혀내지 못했다. NSA 산하 해커 조직인 이퀘이전 그룹(Equation Group)의 압축 프로그램에 직접 접근한 뒤, 지안이 제작된 것으로 추정된다. 그리고, 이퀘이전 그룹이 보유한 엡미의 코드를 복제하거나 일부 변형하면서 지안을 제작한 것으로 보인다.
이와 관련, 체크포인트 연구원 이타이 코헨(Itay Cohen)은 "APT31 소속 해커가 엡미를 손에 넣고, 복제된 코드 일부를 사용했다. 그러나 복제한 코드와 그 기능을 제대로 이해하지 못한 채로 사이버 공격을 개시한 것으로 추정된다"라고 설명했다.
그리고, 연구팀은 네트워크 접근 수준을 높이는 '권한 상승' 기능을 악용해, 이퀘이전 그룹의 자체 네트워크에 접근하고, 엡미를 탈취했을 가능성도 염두에 두고 있다.
사실 이번에 체크포인트 연구팀에 앞서 2017년, 미국 항공 기업 록히드 마틴(Lockheed Martin)이 중국발 사이버 공격을 발견한 적이 있다. 당시 록히드 마틴이 공격한 사이버 공격이 엡미를 복제한 해킹 툴이라고 알려졌다.
이후, 마이크로소프트가 패치 작업을 완료했다. 또, 록히드 마틴 측은 자사가 대규모 미국 고객사를 두고 있다는 사실을 고려했을 때, 주로 미국인이 중국 해커 집단의 공격 대상이 됐을 가능성이 높다고 밝혔다.
전문가 의견
글로벌 월간지 와이어드는 NSA 소속 해커로 활동한 경력이 있는 미국 사이버 보안 기업 렌디션 인포섹(Rendition Infosec)의 창립자 제이크 윌리엄스(Jake Williams)를 인용, APT31이 먼저 지안을 제작한 뒤 NSA가 이를 획득했을 가능성, 혹은 또 다른 해커 집단이 먼저 지안을 제작했을 가능성도 배제할 수 없다고 주장했다.
그러나 윌리엄스는 APT31보다 NSA가 지안을 먼저 획득했을 가능성이 더 높다고 판단했다.
체크포인트 사이버 연구 총괄 야니브 발마스(Yaniv Balmas)는 의문의 해커 집단 섀도우 브로커스(Shadow Brokers)가 NSA의 해킹 툴을 온라인에 유출하기 전, APT31이 엡미에 접근한 사실에 주목했다.
이어, 그는 "여러 국가의 정보기관이 해커가 보안 취약점을 먼저 발견하지 못하도록 막을 능력을 지니고 있는지 의문이 제기될 것"이라고 언급했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
