섀도우 브로커스(Shadow Brokers)라고 불리는 의문의 해커 집단이 인터넷에서 미국 국가안전보장국(NSA)의 비밀 해킹 툴을 무모하게 악용하기 시작하고 4년이 지난 현재까지 어떠한 정보기관도 해커가 컴퓨터 보안 담당자보다 먼저 보안 취약점을 발견하지 못하도록 막을 능력을 갖추는 것과 관련, 여전히 보안 업계가 큰 어려움에 빠져있다. 그 피해가 다시 발생했다. 이번에는 중국 해커 집단이 섀도우 브로커스가 NSA의 해킹 툴을 공개하기 전, NSA의 또 다른 해킹 툴을 확보하고 재사용한 사실이 확인됐다.
2월 22일(현지 시각), 보안 기업 체크포인트(Check Point)가 ‘지르코늄(Zirconium)’ 혹은 ‘저지먼트 판다(Judgment Panda)’라는 이름으로도 알려진 중국 해커 집단 APT31이 NSA 산하 기관으로 알려진 고도로 지능적인 해커 집단으로 보안 업계에서 유명한 이퀘이전 그룹(Equation Group)이 제작한 윈도 기반 해킹 툴 엡미(EpMe)에 접근하고, 해킹에 악용했다고 밝혔다. 체크포인트에 따르면, APT31은 2014년, 엡미 코드 2013년 버전으로 자체 해킹 툴을 제작했다. 이후 APT31은 체크포인트가 ‘지안(Jian)’ 혹은 ‘양날의 검’이라고 칭한 엡미 변형 해킹 툴을 2015년부터 마이크로소프트가 취약점 패치 작업을 한 2017년 3월까지 악용했다. 즉, APT31이 섀도우 브로커스가 NSA의 해킹 툴을 공개한 2016년 말부터 2017년 초보다 더 이른 시기에 이미 피해자 네트워크에 접근한 해커가 더 깊이 접근하도록 ‘권한 상승’을 악용해, 엡미에 접근한 것이다.
2017년 초, 항공 기업 록히드 마틴(Lockheed Martin)이 중국의 해킹 수법을 발견했다. 체크포인트는 록히드 마틴이 대규모 미국 고객사를 두고 있어, 엡미 변형 해킹 툴이 미국인 혹은 미국 기업을 공격하는 데 악용됐으리라 예상한다. 체크포인트 사이버 연구 총괄 야니브 발마스(Yaniv Balmas)는 “섀도우 브로커스가 유출한 NSA 툴 중, 툴 최소 한 가지가 이미 중국 해커 집단의 손에 들어가고 악용됐다는 결정적인 증거를 찾았다. 단순히 중국 해커의 손에 들어간 것이 아니라 해킹 툴을 재구성하고 해킹 공격에 사용했다. 미국인이 공격 대상이 됐을 확률이 높다”라고 말했다.
“실험 결과를 확인했을 때, 충격받았다.”
이타이 코헨, 체크포인트
록히드 마틴 측 사이버 보안 연구 및 보고 소식에 정통한 어느 한 소식통은 와이어드에 록히드 마틴이 미국 민간 부문 네트워크에 중국의 해킹 툴이 악용된 사실을 확인했다고 알려주었다. 중국이 악용한 해킹 툴은 단순히 공급망에만 영향을 미치지 않고, 미군 군사 산업 기반도 공격 대상으로 삼았다고 덧붙여 전했다. 이후, 더 자세한 내용은 공유하지 않았다. 체크포인트의 연구 발표와 관련, 록히드 마틴 대변인이 보낸 메일에는 “록히드 마틴 사이버 보안 팀이 일상적으로 외부 기관의 소프트웨어와 기술을 평가해, 취약점을 확인하고는 개발자와 다른 이해 관계자에게 책임감을 지고 보안 상황을 보고한다”라고 작성됐다.
중국 해커 집단이 NSA 해킹 툴을 혹은 적어도 NSA의 해킹 수법을 재구성한 사실은 이번 체크포인트의 발표 이전에도 확인된 적이 있다. 2018년, 미국 소프트웨어 기업 시만텍(symantec)은 보안 담당자보다 해커가 먼저 윈도 기반 취약점을 발견해, NSA 해킹 툴 이터널블루(EternalBlue)와 이터널로맨스(EternalRomance)를 악용했다. 이터널블루와 이터널로맨스도 섀도우 브로커스가 NSA의 해킹 툴을 공개하기 전에 중국 해커 집단이 재구성한 것으로 알려졌다. 그러나 시만텍은 실제로 NSA의 멀웨어에 접근한 세력이 중국 해커가 아니라는 사실에 주목했다. 대신, 중국 해커 집단은 NSA의 네트워크 통신을 훔쳐보고는 기술을 역설계해, 자체 해킹 툴을 제작하는 데 이용한 것으로 확인됐다.
[사진=Freepik]
그러나 체크포인트 연구팀의 설명에 따르면, APT31의 지안 툴은 이퀘이전 그룹의 압축 프로그램에 직접 접근한 이가 제작한 것으로 보인다. 또, 간혹 이퀘이전 그룹의 압축 프로그램의 임의 코드나 비기능 코드를 복제하기도 했다. 체크포인트 연구원 이타이 코헨(Itay Cohen)은 “중국 해커 집단은 복제된 일부 코드를 사용했으며, 간혹 복제한 코드와 그 기능을 이해하지 못한 것으로 보인다”라고 설명했다.
체크포인트는 중국 해커 집단이 지안 해킹 툴을 NSA에서 얻었다고 분명히 밝혔지만, 미국 사이버 보안 기업 렌디션 인포섹(Rendition Infosec) 창립자 겸 전직 NSA 소속 해커인 제이크 윌리엄스(Jake Williams)는 지안 해킹 툴이 탄생한 출처를 더 논의해야 할 여지가 있다고 말한다. 윌리엄스는 체크포인트가 압축 시간을 보고 코드 이력을 재구성했으나 압축 시간이 조작됐을 수 있다고 지적한다. 또, 중국 해커 집단이 지안을 제작한 뒤 NSA가 이를 획득했거나 또 다른 해커 집단이 최초로 제작했을 가능성을 보여주는 초기 샘플과 같이 놓친 부분이 있을 수 있다. 윌리엄스는 “NSA의 해킹 툴을 탈취한 것이 분명하다는 협소한 편견을 지닌 것 같다. 그러나 어찌 되었든 지안을 먼저 획득한 쪽은 NSA가 유력하다고 본다”라고 말했다.
체크포인트는 2020년 10월, 구글이 미국 대통령 선거 유세 운동 당시 조 바이든 후보를 상대로 사이버 공격을 개시했다고 발표하면서 주목을 받은 APT31이 NSA의 해킹 툴을 획득한 방법이 확실하지 않다고 말한다. 체크포인트 측은 APT31이 이퀘이전 그룹에서 출처를 밝히지 않고 공격하기 위해 저장한 외부 서버를 통해 이퀘이전 그룹이 사용하던 중국 네트워크를 통해 엡미를 획득했을 가능성이 있다고 추측한다. 혹은 APT31이 이퀘이전 그룹의 자체 네트워크, 다시 말해 NSA 내부에 접근해 엡미를 탈취했을 수도 있다.
체크포인트 연구팀은 특정 그룹이 해킹 툴을 보유하는 데 사용하는 지문을 생성하기 위한 기존의 윈도 권한 상승 툴을 자세히 조사하던 중, APT31의 해킹 툴을 발견했다고 밝혔다. 권한 상승은 고객사 네트워크 내부에서 발견된 해커의 출처를 더 확실히 확인하는 데 도움이 된다. 체크포인트는 연구원이 APT31 해킹 툴로 생성한 지문 하나로 실험한 뒤, APT31의 코드가 아닌 섀도우 브로커스가 유출한 해킹 툴에서 제작된 이퀘이전 그룹의 해킹 툴과 일치하다는 사실에 놀랐다. 코헨은 “실험 결과를 확인했을 때, 충격받았다. 이는 악용 수단만 같은 것이 아니다. 분석 결과, APT31의 지안의 이진법 코드가 2013년에 제작된 이퀘이전 그룹의 툴을 복제한 것임을 알게 되었다”라고 말했다.
이후, 체크포인트는 섀도우 브로커스의 데이터에서 엡미가 발견된 툴을 더 자세히 조사했다. 추가로 조사한 툴에는 세 가지 공격이 포함됐다. 그중 두 가지 공격은 러시아 보안 기업 카스퍼스키(Kaspersky)가 발견했으며, 섀도우 브로커스에 앞서 마이크로소프트가 패치 작업을 마친 취약점을 악용한 공격이다. 체크포인트 연구팀은 섀도우 브로커스가 NSA 해킹 툴을 유출한 후, 공개적으로 논의된 적이 거의 없으며, 2017년에 마이크로소프트가 외부에 알리지 않고 패치 작업을 한 엡모(EpMo)라는 이름으로 알려진 사이버 공격에도 주목했다.
와이어드가 마이크로소프트에 연락했을 때, 대변인은 공식 성명을 통해 다음과 같이 답변했다. “2017년, 섀도우 브로커스가 온라인에 유출한 해킹 툴과 관련된 여러 공격은 이미 해결됐다. 업데이트된 소프트웨어를 사용하는 고객은 이미 언급된 취약점으로부터 보호받고 있다.”
체크포인트가 지안을 양날의 검이라고 지칭하는 바가 암시하듯이 연구팀은 지안이 발견된 후, 정부 기관이 제어 능력을 잃지 않고 해커가 먼저 해킹 툴을 보유하고 악용하지 못하도록 무사히 막을 수 있을지 또다시 의문이 제기될 것이라고 주장한다. 발마스 총괄은 “해커가 해킹 툴을 너무 빨리 발견한 것 같다. 더 빠른 패치 작업이 필요할 것이다. 모든 국가에서는 해커가 먼저 취약점을 발견하지 못하도록 예방해야 한다. 그러나 우리가 이를 다룰 방법은... 아마도 다시 생각해야 할 듯하다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202102/2953_3941_1558.jpg)
뉴스레터 신청