중국 정부 배후의 지능형지속위협(APT) 그룹 5개가 지난 10년간 경제적 이익을 목적으로 지적 재산을 노려 사이버공격을 수행해온 것으로 드러났다. 이 APT 그룹들은 리눅스 서버가 타 운영체제(OS)에 비해 보안 솔루션의 보호를 상대적으로 덜 받는다는 점을 악용한 것으로 나타났다.
20일 블랙베리가 공개한 APT 공격 분석 보고서 결과다. 이 보고서는 최근 미 법무부가 56개의 모든 FBI 현장 사무소에서 공개한 수사 중 지적 재산을 노린 경제 스파이 활동 1천건 이상에 대해 분석했다.
코로나 발생으로 원격근무가 확산됐지만 지적 재산 대부분은 리눅스로 구동되는 엔터프라이즈 데이터 센터에 여전히 남아 있다. 인터넷 서비스 조사 기업 넷크래프트, 리눅스 재단의 지난해와 올해 자료에 따르면 상위 100만개 웹사이트 중 거의 대부분과 전체 웹 서버의 75%, 전세계 슈퍼 컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%가 리눅스 기반이다.
대기업에도 해당되는 사항이다. 대기업 대부분이 홈페이지를 운영하고, 네트워크 트래픽을 프록시하며, 중요한 데이터를 저장하는 데 리눅스를 사용하는 것으로 조사됐다.
보고서는 APT 그룹이 광범위한 대상에 "운영을 위한 교두보"를 구축하기 위해 리눅스 서버의 항시 접속 가능하다는 특성을 악용했다고 분석했다.
블랙베리 최고 제품 아키텍트인 에릭 코넬리우스는 "대부분의 보안 업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중하기 때문에 일반적으로 사용자 대면이 아닌 리눅스에 대한 대응은 열악하다"며, "이 APT 그룹은 이런 보안 격차를 정조준하고, 타깃 영역의 지적 재산을 탈취하려는 이익을 위해 수년간 아무도 모르게 이 점을 악용해 왔다"고 밝혔다.
블랙베리는 포착된 APT 그룹들이 정보를 타 그룹뿐만 아니라 정부 기관과도 쉽게 공유하는, 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있을 것으로 예상했다.
APT 그룹들은 일반적으로는 각자 목표 하에 공격을 수행했다. 그러나 리눅스 플랫폼을 노릴 땐 그룹 간 조직적 움직임이 있었던 것으로 파악됐다.
이 보고서에서 블랙베리는 두 가지 안드로이드 맬웨어 사례를 다뤘다. 이를 통해 모바일 맬웨어를 기존의 데스크톱 맬웨어와 결합해 크로스 플랫폼 감시와 스파이 활동 캠페인에 활용하는 모습이 관찰됐다. 이는 이전에도 나타났던 경향이 지속됐다는 분석이다.
관련기사
- 추억의 블랙베리 폰, 기억속으로 사라지나2020.04.20
- 블랙베리 'QNX OS 포 세이프티' 현대차에 탑재2020.04.20
- 블랙베리, 치열해지는 한국 EDR 시장 가세2020.04.20
- 블랙베리 "사람 목숨 달린 산업IoT시스템, 진짜 보안 갖춰야"2020.04.20
안드로이드 맬웨어 샘플 중 하나는 상용화된 침투 테스트 도구의 코드와 매우 흡사하지만 해당 상용 도구가 시중에 나오기 거의 2년 전에 이미 생성된 것으로 파악됐다.
블랙베리 최고 정보보안 책임자인 존 맥클러그는 “이번 조사는 이전에 확인된 것보다 더 체계적인 모습으로 거대 조직의 네트워크 인프라 근간을 겨냥하는 스파이 활동을 잘 보여준다”며 “이 보고서는 중국 IP 탈취 이야기의 새로운 장을 열어 우리에게 새로운 교훈을 제공한다”고 언급했다.