물밑에서 벌어지는 APT 단체들 간의 암투, 또 한 번 드러나다 (보안뉴스, 문가용 기자, 2021.02.23.)
중국의 APT 단체인 APT31이 미국 NSA의 해킹 도구를 수년 전부터 복제한 수준으로 활용해 왔다는 의혹이 제기됐다. 보안 업체 체크포인트(Check Point)가 이와 관련된 보고서를 작성해 발표했다.
보고서에 따르면 APT31이 훔친 공격 도구의 원주인은 2015년 보안 업체 카스퍼스키(Kaspersky)가 정체를 공개한 이퀘이젼 그룹(Equation Group)이라고 한다. 이퀘이젼 그룹은 세계에서 가장 뛰어난 기술을 가진 해킹 집단으로 알려져 있으며, 2001년부터 활동을 해온 것으로 알려져 있다. NSA에 소속되어 있는 단체로 보는 것이 중론이다.
이번 보고서의 핵심이 되는 해킹 도구는 CVE-2017-0005라는 취약점을 익스플로잇 한다. NSA 혹은 이퀘이젼 그룹이 만든 ‘오리지널 익스플로잇’이나 중국 APT31이 복제해 간 익스플로잇 모두 이 취약점과 관련이 있다는 것으로, CVE-2017-0005는 윈도 권한 상승 취약점이라고 한다. 중국 해커들이 사용한 도구의 이름은 지안(Jian)으로, 적어도 2015년부터 존재한 것으로 보인다. MS는 이 취약점을 2017년에 패치했다.
지안을 제일 먼저 발견해 마이크로소프트에 알린 건 록히드마틴(Lockheed Martin)의 사건 대응 팀이었다. 당시 록히드마틴 측은 APT31이 미국 조직들을 겨냥해 해당 도구를 사용한 것으로 보인다고 의심했었다. 다만 록히드마틴이 말하는 미국 조직이 정확히 어디인지는 공개되지 않았었다. 또한 지안이 이퀘이젼 그룹과 관련이 있다는 내용도 전혀 언급되지 않았었다.
그런 가운데 오늘 체크포인트가 “지안은 이퀘이젼 그룹이 개발한 엡미(EpME)라는 익스플로잇의 복제판”이라고 발표한 것. 엡미는 이퀘이변 그룹의 최초 침투 이후를 위한 공격용 프레임워크인 댄더스프리츠(DanderSpritz)에 포함되어 있었다. 댄더스프리츠는 공격 지속성 확보, 정찰, 횡적 움직임, 보안 도구 회피 등의 기능을 가지고 있는 보안 도구이다. 엡미는 2013년에 처음 개발된 것으로 보인다고 한다.
결국 엡미를 가져다가 살짝 수정한 것이 지안이라는 건데, 체크포인트는 “둘이 같은 취약점을 익스플로잇 하도록 설계되어 있다는 사실만으로 둘의 관련성을 의심하는 건 아니”라고 설명한다. “일단 둘을 비교하자면 엡미가 훨씬 더 포괄적이고 전문적입니다. 댄더스프리츠 자체가 현존하는 멀웨어 프레임워크 중 가장 높은 수준에 속합니다. 이퀘이젼 그룹의 뛰어난 실력이 엿보이는 부분입니다.” 체크포인트의 수석 연구원인 이타이 코헨(Itay Cohen)의 설명이다.
코헨에 따르면 지안은 코딩의 질적인 측면에서 엡미와 비교가 되지 않는다고 한다. “APT31이 엡미의 소스코드까지 가져가지는 못했으리라고 봅니다. 리버스 엔지니어링(역설계)을 통해 상세히 분석한 게 전부일 겁니다. 중국 해커들은 CVE-2017-0005 취약점이 존재하지 않는 윈도 2000도 익스플로잇이 가능하도록 지안을 재설계하려 했습니다. 명백한 실수입니다. 코드를 다 보지 못했다는 뜻입니다.”
그렇다면 공격자들은 어떤 자료들을 확보했던 것일까? 체크포인트가 수집한 증거에 따르면 APT31은 엡미의 파일들에 접근하는 데는 성공한 것으로 보인다고 한다. “32비트와 64비트 버전 모두를 확보했다고 보고 있습니다. 셰도우 브로커스(Shadow Brokers)라느 해커들이 NSA 해킹 툴을 판매한다고 대대적으로 광고해 세계를 깜짝 놀라게 하기 2년 전에 말이죠. 하지만 APT31이 어떤 경로로 이 파일들을 손에 넣었는지는 알 수 없습니다.”
체크포인트의 연구원 에얄 이트킨(Eyal Itkin)은 “공격 도구라는 건, 원래 사용되는 순간 노출되기도 한다”고 설명한다. “이퀘이젼 그룹이 중국의 어떤 조직을 공격하는 데 댄더스프리츠 및 엡미를 사용했고, 그것을 APT31이 포착하여 연구를 실시했을 가능성이 높습니다. 이런 식으로 유출되는 공격 도구들이 많습니다. 중국을 공격한 것이 아니더라도, 이퀘이젼 그룹이 작전 수행 중에 APT31에 포착되었을 가능성도 있습니다.”
이 두 가지 시나리오에 비해 가능성은 낮지만 APT31이 이퀘이젼 그룹, 혹은 NSA의 네트워크에 능동적으로 침투했을 수도 있다. “하지만 APT31이 정말 침투에 성공했다면 더 많은 도구들을 훔쳐갔겠죠. 프레임워크의 일부에 해당하는 것만 쏙 빼갔을 리가 없습니다. 아직까지 APT31이 사용하는 도구들 중 NSA의 것이라고 보이는 것은 발견되지 않았습니다.”