ORB 운영자, 장치 추가, 제거 등의 변화로 스파이 활동 효과적으로 은폐
[보안뉴스 김경애 기자] 중국 배후의 해커 조직이 스파이 활동에 ORB 네트워크를 이용하는 것으로 분석됐다. ORB 네트워크는 악성코드를 감추고 추적을 어렵게 하는 특징이 있어 활용도가 증가 추세에 있다. 따라서 이용자들의 각별한 주의가 요구되며, 네트워크 보안 방어에도 세심한 주의를 기울여야 할 것으로 보인다.
▲SPACEHOP/ORB 노드 분포 히트맵[이미지=맨디언트]
맨디언트 인텔리전스(Mandiant Intelligence)에 따르면 중국과 연관된 사이버 스파이 활동을 오랜 기간 추적해온 결과, 중국이 배후에 있는 APT 행위자들이 ORB(operational relay box networks)라는 프록시 네트워크를 점점 더 많이 이용하고 있는 추세라고 설명했다.
ORB 네트워크는 악성코드를 감추고 추적을 어렵게 하는 은밀한 통로라고 이해하면 된다. 봇넷과 비슷하지만, 일반 컴퓨터뿐만 아니라 가상서버(VPS), 사물인터넷(IoT) 장치, 스마트 장치, 오래된 라우터 등으로 구성된다.
그런데 ORB 운영자들이 이들 기기를 해킹해 ORB 네트워크를 만든 정황이 포착됐다. 이 환경은 마치 터널처럼 작동하는데 악성코드가 실제 출발지를 숨기고 다른 장치로 데이터를 중계해 추적이 쉽지 않은 게 특징이다. ORB 운영자들은 새로운 장치를 추가하거나 기존 장치를 제거하면서 끊임없이 변화를 가해 공격자들이 더 효과적으로 스파이 활동을 은폐할 수 있다.
이러한 메시 네트워크를 사용하며 위협 행위자들은 제로 데이 취약점을 통해 공격받고 있는 취약한 엣지 장치를 포함한 C&C(Command & Control) 인프라와 피해자 환경 간의 외부 트래픽을 위장할 수 있다.
이러한 네트워크는 종종 클라우드 서비스의 VPS 노드와 라우터를 타깃으로 하는 악성코드를 결합해 사용한다. 이를 통해 악의적인 목적으로 만든 네트워크 내에서 트래픽을 중계할 수 있는 장치 수를 늘린다.
맨디언트 측은 “네트워크 방어자들이 이러한 변화에 발맞춰 진화해야 한다”며 “기업 방어 시스템은 주로 특정 침해지표(IOC)에 의존해 악성 활동을 파악하는데, ORB 네트워크는 끊임없이 변화하며 은닉처를 옮기므로 기존 IOC를 기준으로 탐지하기 어렵다”고 지적했다.
이에 따라 기업 네트워크 방어 비용이 증가하고 스파이 행위를 하는 해커에게 유리한 상황이 만들어진다는 것. 이에 특정 IOC에만 의존하지 말고 APT 행위자들을 추적하는 것처럼 ORB 네트워크 자체를 지속적으로 변화하는 대상으로 여기고 추적해야 한다는 것이다.
▲SPACEHOP/ORB3 네트워크에서 차지하는 비중이 높은 상위 10개 호스팅 및 인터넷 서비스 제공 업체[이미지=맨디언트]
한계에 다다른 IOC 그리고 ORB 네트워크의 부상
중국과 연계된 공격자들이 ORB 네트워크를 애용하는 것에 대해 방어 인식을 바꿔 이제는 주요 중국 공격자들이 이런 유형의 네트워크를 사용하는 것이 기업의 방어에 어떤 영향을 끼치는지 고려해야 한다는 지적이다.
ORB 네트워크는 ‘행위자 제어 인프라(Actor-Controlled Infrastructure)’ 개념을 약화시킨다. ORB는 독립적인 단체, 계약자 또는 중국 내 관리자가 운영하는 인프라다. 하나의 APT 공격 그룹이 제어하는 네트워크가 아니다. ORB 네트워크 운영자는 네트워크 인터페이스를 생성하고 제어권을 획득한 노드(compromised node)의 네트워크를 관리하며, 여러 APT 행위자에게 ORB 접근 권한 제공한 관한 계약을 체결한다. APT 행위자들은 ORB 네트워크를 사용해 고유한 스파이 및 정찰을 수행한다. 이러한 네트워크는 APT 행위자가 제어하는 것이 아니며, 맞춤형 도구 배포를 위해 일시적으로 사용된다.
ORB 네트워크는 수명이 짧다. 이로 인해 IOC의 활용 가치를 빠르게 떨어뜨리고 있다. 맨디언트의 ORB 네트워크 추적 및 분석 내용에 따르면 보통 IP 주소로 식별하는 ORB 노드의 수명 주기는 매우 짧다. 짧을 때는 31일도 안 될 수 있다. ORB 네트워크 운영자는 정기적으로 네트워크를 구성하는 장치(인프라)를 교체 작업하는데, 이를 인프라 순환(infrastructure cycling)이라고 부르며, 주기는 각 ORB 네트워크마다 다르다.
중국의 ORB 네트워크 운영자들은 매달 상당량의 노드를 해킹한 장치나 정상적인 클라우드 서비스로 교체하는데, 그들은 짧은 주기로 인프라를 바꾸는 것을 주요 경쟁력으로 보고 있다.
이런 이유로 ORB 네트워크 인프라를 단순히 차단하는 식의 접근은 효과가 낮다는 분석이다. 과거에는 특정 IP 주소나 C2 서버를 차단하는 것이 효과가 컸다. 그러나 지속해서 인프라를 바꾸는 ORB 네트워크는 이런 방법이 효과적이지 않다는 것. 인프라 순환이라는 ORB 네트워크의 특성은 IOC 정보의 유효 기간을 점점 더 짧아지게 만들고 있고, 앞으로 더 이상 유용하지 않은 순간마저 올 것으로 보인다.
스파이 활동의 속성을 분석하는 데 있어 네트워크 인프라 정보만으로는 충분하지 않다. 예전에는 공격 트래픽의 출발 IP 주소를 통해 공격자의 위치를 추적하는 방법을 주로 사용했다. 이는 침입의 속성을 연구하는 데 중요한 단서였다.
하지만 중국 연계 공격의 경우 이런 식의 속성 파악이 효과적이지 않다. ORB 네트워크는 여러 해킹된 장치를 연결해 만든 복잡한 네트워크다. 따라서 공격 트래픽은 피해 기업과 지리적으로 가까운 장치를 통해 나갈 수 있어 추적이 어렵다. 또한, 특정 ORB 네트워크를 이용하는 공격자가 여럿일 수 있어 공격의 실제 주체를 파악하기도 어렵다. 따라서 공격에 사용한 도구와 방법을 분석하는 것이 공격자를 추적하는 중요 단서가 될 수 있다.
정리하자면 ORB 네트워크를 이용하면 기존 추적 방식으로 출처 파악이 어렵다. 예를 들어 타깃과 동일한 지역의 가정용 ISP에서 오는 트래픽은 직원들이 자주 사용하므로 수작업 방식으로 하는 검토에 걸릴 가능성이 작다. 사이버 킬 체인의 무기화 단계는 이제 제3자 제공자가 관리함으로써 네트워크 지표를 사용한 사이버 공격의 속성을 판단하는 것을 복잡하게 만들고, 비정상적인 트래픽 탐지를 어렵게 만든다. 따라서 공격 도구와 방법 분석 등 포괄적인 조사가 필요하다.
ORB 네트워크 해부
ORB 네트워크는 항상 네트워크 인프라 노드로 구성된다. 이러한 노드는 해킹한 라우터, 임대한 VPS 장치 또는 이 둘의 혼합으로 이루어질 수 있다. 계약을 맺은 공격자에게 인프라 접근 권한을 제공하는 상업적 형태의 ORB 네트워크가 등장한 건 2016년이다. ORB1/ORBWEAVER 같은 현대적인 네트워크는 2020년부터 추적할 수 있었다. ORB 네트워크의 노드는 특정 지역에 국한되어 있지 않고 일반적으로 전 세계에 분포되어 있다. ORB 운영자들은 노출을 줄이거나 특정 국가의 인터넷 인프라에 대한 의존을 줄이기 위해 전 세계의 ASN 제공 업체를 활용한다.
ORB3 또는 SPACEHOP로 알려진 네트워크는 여러 중국 연계 위협 행위자들이 사용하는 매우 활동적인 네트워크다. 맨디언트는 현재 이를 추적하고 있다고 밝혔다. 이들 네트워크는 전 세계적으로 분포한 노드를 운영 중이며 APT 관련 트래픽양이 상당하다. 특히 이들 네트워크는 유럽, 중동, 미국에 상당한 양의 노드를 유지하고 있는데, 이 지역들은 APT15 및 APT5와 연관된 것으로 의심하는 UNC2630의 주요 활동 무대다. 또한, 이들 네트워크는 표 1과 같은 호스팅이나 인터넷 서비스 제공 기업의 서비스로 VPS 기반 장치를 등록해 노드를 다양화하기도 한다.
ORB 네트워크 분류
맨디언트는 ORB 네트워크를 임대 서버를 활용하는 구축된 네트워크와 해킹한 장치를 활용하는 비구축 네트워크 유형으로 구분했다.
구축된 네트워크(Provisioned Networks)
△정상적인 서비스를 통해 임대한 VPS 장치
△ORB 운영자가 노드 관리
△임대한 장치의 운영체제나 가상 이미지를 공격자가 직접 관리해야 함
비구축 네트워크(Non-Provisioned Network)
△해킹한 라우터나 사용 기한이 만료된 IoT 장치 등으로 구성
△공격자가 악성코드를 설치해 네트워크에 장치를 추가
△대다수 비구축 네트워크는 임대 VPS를 공격자 제어 운영 서버(ACOS 노드)로 사용함
ORB는 임대한 VPS 장치와 해킹한 장치를 결합한 하이브리드 네트워크일 수도 있다. 과거에 군사 관련 기관이 구축한 네트워크를 선호하는 경향이 있었지만, 최근에는 위협 행위자들이 다양한 유형의 네트워크를 사용할 수 있어 선호를 특정할 수 없다. 민간 정보기관을 배경으로 두고 있는 위협 단체는 악성코드를 이용해 라우터를 해킹하는 식으로 비구축 네트워크를 구성하는 경우가 많다.
ORB 네트워크 구조
맨디언트는 수년간 여러 ORB 네트워크를 분석해 구성 요소를 파악하고 이를 이해하기 쉬운 보편적인 구조(Universal Anatomy)로 만들었다. 이 구조는 기업의 보안담당자가 악의적인 ORB 네트워크 노드를 식별하는 데 도움이 되는 지침이다. 모든 ORB 네트워크는 몇 가지 공통 요소로 구성되어 있지만, 각 네트워크의 세부 설정이나 트래픽 이동 경로는 조금씩 다를 수 있다. 다음은 ORB 네트워크가 작동하는 데 필요한 필수 요소다.
공격자 제어 운영 서버(ACOS)는 ORB 네트워크 내의 노드를 관리하는 제어 서버다. 중계 노드(Relay Node)는 주로 중국이나 홍콩의 클라우드 서비스 제공 업체에서 임대하는 가상 서버(VPS)다. 이 노드는 ORB 네트워크를 사용하는 사람들이 네트워크에 인증하고 더 넓은 범위의 트래픽 통로를 통해 트래픽을 전달하는 데 사용된다.
트래버설 노드(Traversal Nodes)는 ORB 네트워크를 구성하는 대부분의 노드다. 구축된 네트워크의 노드이거나 비구축된 네트워크의 노드일 수 있으며, ORB 네트워크를 통해 트래픽의 출처를 숨기기 위해 사용된다. 일부 네트워크는 여러 유형의 트래버설 노드나 여러 트래버설 레이어를 포함할 수 있다.
출구·중간 저장 노드(Exit/Staging Nodes)는 공격자가 제어하는 노드이며, 보통 트래버설 노드와 비슷한 특징을 가지고 있다. ORB 네트워크를 빠져나와 피해 조직의 시스템에 침투하는 데 사용된다.
피해자 서버는 ORB 네트워크 노드와 통신하는 피해 조직의 시스템이다. 맨디언트의 조사 결과에 따르면 대부분의 ACOS 서버와 릴레이 노드는 중국과 관련된 IP 공간(RPC-affliated IP space)이나 홍콩에 있다. 또한, 분석가들은 ORB 네트워크의 중요 서버들을 중국의 방화벽(Great Firewall) 뒤에 두고 있는 이유로 법적 문제를 피하고, 탐지와 대응을 어렵게 하기 위함으로 풀이하고 있다. 여기서 말하는 법적 문제란 표적이 되는 기업이 피해를 보아도 법적 조치를 취하기 어렵게 하는 것을 뜻한다.
▲ORB 네트워크를 구조를 보여주는 다이어그램[이미지=맨디언트]
ORB 네트워크
ORB3 SPACEHOP - 구축된 네트워크
많은 APT 그룹이 사용하는 대표적인 ORB 네트워크는 ORB3 SPACEHOP이다. 구축된 네트워크로 구분되는 ORB3 SPACEHOP는 현재 맨디언트가 지속해서 추적 중이다. 이 네트워크는 중국에서 운영되는 단일 조직이 제공한 서버로 구성되어 있다. APT5와 APT15 같은 중국 연계 위협 행위자들이 이를 활용해 네트워크 정찰 스캔과 취약점 악용을 수행해 왔다.
ORB3 네트워크는 북미, 유럽, 중동에 있는 APT5와 APT15의 공격 목표에 위협이 된다. 예를 들어 UNC2630(APT5와 연관이 의심되는 그룹)은 2022년 12월 CVE-2022-27518 취약점을 악용하기 위해 이 네트워크의 노드를 사용했다. NSA도 같은 시기에 APT5가 이 취약점을 악용한 것으로 확인했다.
이 ORB 네트워크는 복잡한 네트워크와 비교하면 꽤 단순한 편이다. 홍콩이나 중국에 있는 클라우드 서비스 기업이 호스팅하는 릴레이 서버를 사용하고, 깃허브(GitHub)에서 제공되는 C&C 프레임워크를 설치해 하위 릴레이 노드를 관리한다. 릴레이 노드는 주로 클론 된 리눅스 기반 이미지로, 악성 트래픽을 피해자 환경과 통신하는 출구 노드로 프록시한다.
ORB2 FLORAHOX - 비구축된 네트워크
FLORAHOX는 비구축된 네트워크 및 하이브리드 ORB 네트워크의 대표적인 예다. 이 네트워크는 ACOS 노드, 해킹한 라우터 및 IoT 장치, 맞춤형 릴레이 네트워크 계층과 인터페이스 하는 VPS 서버로 구성된다. FLORAHOX는 소스에서 트래픽을 프록시해 TOR 네트워크와 여러 해킹한 라우터 노드를 통해 릴레이해 트래픽 출처를 숨긴다. 여러 중국 연계 위협 행위자들이 사이버 스파이 캠페인에서 이 네트워크를 사용하는 것으로 추정된다.
이 네트워크는 FLORAHOX라는 악성코드를 통해 라우터를 침해해 만든 여러 서브 네트워크로 구성되어 있다. 이 네트워크는 여러 종류의 악성코드를 사용해 라우터를 침해하고 네트워크를 확장하는 것으로 보인다. FLORAHOX는 여러 개의 라우터와 페이로드와 네트워크를 사용하는 APT 행위자들이 함께 사용하는 다중 테넌트 네트워크다. APT31과 Zirconium 같은 중국 연계 위협 행위자들이 이 네트워크를 사용하는 것으로 알려져 있다.
또한, 2023년 1월 PETALTOWER라는 MIPS 라우터 터널러 페이로드와 관련 제어 Bash 스크립트(SHIMMERPICK)가 식별됐다. 이러한 도구들의 목적은 네트워크를 횡단하기 위한 구성을 제공하고, 명령줄 입력을 기반으로 기존 FLORAHOX 노드 네트워크를 횡단하는 것이다.
ORB2는 더 복잡한 구조를 가지고 있는 것으로 보인다. TOR 네트워크, 임대 서버(VPS) 그리고 CISCO, ASUS, Drateck 등 해킹된 라우터를 활용해 트래픽을 전달한다. 이 네트워크는 장기간에 걸쳐 지속해서 확장되고 있는데, 여러 세대의 악성코드를 사용해 취약한 라우터를 네트워크에 추가하는 방법으로 발전하고 있다.
▲ORB2 FLORAHOX 네트워크 다이어그램[이미지=맨디언트]
방어자의 딜레마
중국 연계 스파이 행위자들이 ORB 네트워크를 광범위하게 채택하면서 기업 환경을 악성 인프라로부터 방어하는 것이 더욱 복잡해지고 있다. 이전에는 공격자들이 사용하는 인프라를 직접 차단하는 식으로 대응할 수 있었지만, 이제는 방어자들은 다음 사항까지 고려해야 한다.
- 일시성 : 현재 ORB 네트워크에 포함된 인프라는 무엇인가?
- 다양성 : 이 ORB 네트워크를 사용하는 이는 누구이며, 이들 중 누가 우리 조직의 네트워크를 노리는가?
- 휘발성 : 이 인프라가 ORB 네트워크의 일부로 얼마나 오래 지속될 것이며, 인프라의 변화가 새로운 전술을 나타내는가?
이와 관련 맨디언트는 “ORB 네트워크가 제기하는 도전에 대응하는 최선의 방법으로 스파이 C&C 인프라를 단순한 침해지표로 추적하는 것을 중단하고, 고유한 전술, 기법, 절차(TTP)를 가진 엔티티(NTT)로 추적해야 한다”며 “IP 차단만으로는 충분치 않으며, ORB 네트워크를 살아 있는 아티팩트로 여기고 포트, 서비스, 등록·호스팅 데이터 등의 특성을 포괄적으로 고려해 ORB 환경의 진화를 추적해야 한다”고 강조했다.
ORB를 IOC와 같은 단편적인 지표가 아니라 APT처럼 지속해서 관찰하고 분석해야 하는 대상으로 보안 운영의 인식과 방어 패러다임을 전환해야 한다는 것.
국가기반 해커조직, 효율적인 은폐 위해 ORB 네트워크 사용
맨디언트는 “침해된 네트워크에서 트래픽을 숨기고 은폐하기 위해 ORB 네트워크를 사용하는 것은 새로운 것은 아니”라며 “중국 연계 사이버 스파이 행위자들만 사용하는 전술도 아니다. 그러나 최근 몇 년 동안 ORB 네트워크를 활용하는 사례가 많아지고 있고, 이는 기업 보안에 심각한 위협이 되고 있다”고 밝혔다.
이어 맨디언트는 “중국 연계 사이버 스파이들이 더 목적 지향적이고 은밀하며 효과적인 운영을 위해 이러한 전술을 사용하는 것을 추적해 왔다”며 “그들은 은밀하게 행동하는 것 외에도 방어자의 비용과 분석 부담을 증가시키고자 한다”고 말했다.
또한 맨디언트는 “중국은 ORB 네트워크와 같은 첨단 전술과 도구 개발에 투자해 해킹 성공률을 높이고 있다”며 “지난 15년간 APT 추적에 집중한 것처럼 이제는 ORB 네트워크 추적에 전술적인 노력을 기울여야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>