미국과 중국의 기싸움이 사이버 공간에서 끝없이 이어지고 있다. 이번에는 미국의 정부 기관들이 중국의 대규모 봇넷을 무력화시키는 데 성공했다. 이 봇넷은 각종 인프라 공격에 활용되고 있었다. 미국과 대만에 공격을 집중시켰다고 한다.
[보안뉴스 문정후 기자] FBI를 비롯해 여러 정부 기관들의 공조로 대규모 중국 봇넷이 폐쇄됐다. FBI의 발표에 따르면 중국 해커들은 이 봇넷을 이용해 여러 국가들의 장비 수십만 대를 침해하고 데이터를 훔쳐냈다고 한다. 여기서 말하는 중국 해커들이란 플랙스타이푼(Flax Typhoon)이라고 하며, 이 봇넷을 구성하기 위해 갖가지 사물인터넷 장비들을 가로챘다고 한다.
[이미지 = gettyimagesbank]
봇넷
문제의 봇넷은 무려 26만대가 넘는 사물인터넷 장비들로 구성되어 있었다. 감시카메라, 라우터, 스토리지, 영상 리코더 등 소비자들 사이에서 널리 사용되는 장비들이었다. 미라이(Mirai)와 같은 유명 사물인터넷 봇넷은 감시카메라로 대부분 구성되어 있고, 현대에 나온 봇넷들의 경우 라우터를 주요 표적으로 삼는 것과는 사뭇 다른 행보라고 할 수 있다. 그렇다고 여러 종류의 사물인터넷 장비들을 한꺼번에 노리는 것이 전혀 새로운 기술인 것은 아니다. 점점 더 많은 봇넷들이 이런 쪽으로 흘러가고 있다.
이 봇넷은 민감한 정보를 훔치거나 사회 기반 시설을 마비시키는 데 주로 사용됐다고 FBI는 발표했다. “피해자들에게 실질적인 위해를 가하는 데 사용됐습니다.” 특히 미국에 피해가 집중된 것으로 알려져 있는데(그래서 FBI와 NSA 등 미국의 정부 기관들이 이번 수사를 주도했다), 다른 나라에서도 피해 사례가 발견되고 있기는 하다. 참고로 지난 2월에는 볼트타이푼(Volt Typhoon)이라는 중국의 또 다른 해킹 조직이 KV봇넷(KV Botnet)이라는 걸 운영하다가 적발된 적이 있었다. 이 봇넷 역시 여러 기관들의 공조로 폐쇄됐다.
이번 플랙스타이푼이 소유하고 있던 봇넷의 경우 다량의 노드가 발견된 국가들은 순서대로 미국, 베트남, 독일, 루마니아, 홍콩, 캐나다, 남아프리카공화국, 영국, 인도, 프랑스, 방글라데시, 이탈리아, 리투아니아, 알바니아, 네덜란드, 중국, 호주, 폴란드, 스페인이었다. 전체 봇넷 노드의 47.9%가 미국에 있었고, 2위인 베트남에서 8%가 발견됐다. 꽤 큰 격차로, 중국의 해커들이 미국에 얼마나 큰 관심을 가지고 있는지가 드러난다.
장기전이 될 옥신각신
FBI는 플랙스타이푼의 봇넷이 더 이상 공격 기능을 발휘하지 못하도록 하기 위해 “여러 파트너들과 힘을 합해 봇넷 인프라를 장악하려 했다”고 하는데 “플랙스타이푼이 이러한 시도를 눈치 채고 봇들을 전부 새로운 서버로 이주시키려 하고, 동시에 그들을 공격하는 공격자인 저희를 겨냥해 디도스를 시도하려 했다”고 설명했다. 하지만 이는 패착이었다. “여러 파트너들과 공조하고 있었기 때문에 디도스 공격을 막는 건 그리 어렵지 않았고, 심지어 공격자들의 새 인프라까지 파악할 수 있었습니다. 그러다가 플랙스타이푼은 배후에 FBI가 있는 걸 알고는 새 인프라도 전부 포기하고 자취를 감췄습니다.”
이러한 과정을 거쳐 FBI는 플랙스타이푼의 봇넷에 수십만 대의 장비가 연결되어 있음을 알아냈다고 한다. 그러고 나서는 해당 장비들로부터 멀웨어를 제거하기 위한 방법들을 동원했다. 멀웨어가 사라진 장비의 경우 봇넷으로부터 풀려나게 됐다. “하지만 발견된 모든 장비들로부터 멀웨어를 제거한 것도 아니고, 저희가 감염된 모든 장비를 발견했다고 보장할 수도 없습니다. 따라서 저희의 싸움은 한동안 계속될 것으로 보입니다.”
페이퍼컴퍼니
플랙스타이푼은 페이퍼컴퍼니를 하나 세워두고 자신들의 행적을 감추려 했다. “이들은 정보 보안 업체로 스스로를 포장했습니다. 이름은 인테그리티테크놀로지그룹(Integrity Technology Group)이었고요. 하지만 사실은 중국 정부를 위해 각종 정보를 수집하거나 해킹 공격을 시도하는 단체였죠. 그 사실을 회사 의장이라는 사람이 공개적으로 인정하기도 했었습니다.”
가짜 기업까지 내세운 플랙스타이푼의 봇넷 활동은 언제부터 시작된 것일까? 이 부분에 대해서 FBI는 뚜렷한 답을 제시하지 않았는데, 보안 업체 블랙로터스(Black Lotus)가 우연치 않게 플랙스타이푼의 봇넷 활동에 대한 보고서를 때마침 발표했다. 플랙로터스는 플랙스타이푼을 랩터트레인(Raptor Train)이라고 부른다. 이 보고서에 따르면 플랙스로터스는 “최소 4년 동안 봇넷 활동을 통해 군, 정부, 통신, 국방 분야의 단체들을 공격해 왔다”고 한다. 피해자는 주로 미국과 대만에 있었다고도 블랙로터스는 덧붙였다.
블랙로터스 역시 “우리가 발견한 것이 실상의 전부인지 아닌지 확실하지 않다”고 말하며 장기화 된 싸움을 예고했다. “공격자들은 이미 여러 산업과 나라를 공략하고 있습니다. 봇넷과 캠페인의 전체 규모를 파악하는 것도 중요하지만, 그 와중에 이번 FBI의 작전처럼 멀웨어를 삭제하고 공격자의 서버와 감염된 장비의 연결 고리를 끊어내는 실질적인 노력을 하는 것도 중요합니다. 그래야 봇넷이 무력화되고 공격이 약해지거든요. 이들의 규모를 파악한다 한들 실질적으로 위험성을 완화시키지 못하면 아무 소용이 없습니다.”
미국과 대만에 집중되어 있어
원래 중국의 APT 조직들 혹은 사이버 범죄 조직들은 나라나 지역을 가리지 않고 고루 공격을 하곤 했다. 하지만 최근 들어 이들은 미국과 대만에 좀 더 집중하고 있는 모습을 보이고 있다. 미국과 대만이라면 민간 부문이나 공공 부문은 특별히 가리지 않는 것으로 보인다. 이는 중국이 수년 째 대만 침공의 뉘앙스를 잔뜩 풍기면서 국제 관계를 이어가고 있기 때문이다. 미국은 대만을 보호하겠다고 호언장담한 상황이고, 실제 아시아 인근 지역의 군사력을 한층 높였다. 이 때문에 괌에 있는 미군 시설들이 해킹 공격의 대상이 되고 있기도 하다.
현재 백악관은 이 플랙스타이푼이 APT 조직까지는 아닌 것으로 파악하고 있다. 오히려 민간인들로 구성된 해커들이지만, 개인의 금전적 이득보다 자국 정부를 대신해 싸우고 있는 것으로 보인다. 대신 최근 활동이 활발한 중국의 해킹 그룹 볼트타이푼의 경우, APT 조직에 더 가까운 것으로 파악되고 있다.
3줄 요약
1. 26만대가 넘는 사물인터넷 장비들로 구성된 봇넷 발견됨.
2. 이 봇넷의 배후에는 중국의 해킹 조직인 플랙스타이푼이 있음.
3. FBI와 여러 정부 기관들이 이 봇넷을 성공적으로 폐쇄시킴.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] FBI를 비롯해 여러 정부 기관들의 공조로 대규모 중국 봇넷이 폐쇄됐다. FBI의 발표에 따르면 중국 해커들은 이 봇넷을 이용해 여러 국가들의 장비 수십만 대를 침해하고 데이터를 훔쳐냈다고 한다. 여기서 말하는 중국 해커들이란 플랙스타이푼(Flax Typhoon)이라고 하며, 이 봇넷을 구성하기 위해 갖가지 사물인터넷 장비들을 가로챘다고 한다.
[이미지 = gettyimagesbank]
봇넷
문제의 봇넷은 무려 26만대가 넘는 사물인터넷 장비들로 구성되어 있었다. 감시카메라, 라우터, 스토리지, 영상 리코더 등 소비자들 사이에서 널리 사용되는 장비들이었다. 미라이(Mirai)와 같은 유명 사물인터넷 봇넷은 감시카메라로 대부분 구성되어 있고, 현대에 나온 봇넷들의 경우 라우터를 주요 표적으로 삼는 것과는 사뭇 다른 행보라고 할 수 있다. 그렇다고 여러 종류의 사물인터넷 장비들을 한꺼번에 노리는 것이 전혀 새로운 기술인 것은 아니다. 점점 더 많은 봇넷들이 이런 쪽으로 흘러가고 있다.
이 봇넷은 민감한 정보를 훔치거나 사회 기반 시설을 마비시키는 데 주로 사용됐다고 FBI는 발표했다. “피해자들에게 실질적인 위해를 가하는 데 사용됐습니다.” 특히 미국에 피해가 집중된 것으로 알려져 있는데(그래서 FBI와 NSA 등 미국의 정부 기관들이 이번 수사를 주도했다), 다른 나라에서도 피해 사례가 발견되고 있기는 하다. 참고로 지난 2월에는 볼트타이푼(Volt Typhoon)이라는 중국의 또 다른 해킹 조직이 KV봇넷(KV Botnet)이라는 걸 운영하다가 적발된 적이 있었다. 이 봇넷 역시 여러 기관들의 공조로 폐쇄됐다.
이번 플랙스타이푼이 소유하고 있던 봇넷의 경우 다량의 노드가 발견된 국가들은 순서대로 미국, 베트남, 독일, 루마니아, 홍콩, 캐나다, 남아프리카공화국, 영국, 인도, 프랑스, 방글라데시, 이탈리아, 리투아니아, 알바니아, 네덜란드, 중국, 호주, 폴란드, 스페인이었다. 전체 봇넷 노드의 47.9%가 미국에 있었고, 2위인 베트남에서 8%가 발견됐다. 꽤 큰 격차로, 중국의 해커들이 미국에 얼마나 큰 관심을 가지고 있는지가 드러난다.
장기전이 될 옥신각신
FBI는 플랙스타이푼의 봇넷이 더 이상 공격 기능을 발휘하지 못하도록 하기 위해 “여러 파트너들과 힘을 합해 봇넷 인프라를 장악하려 했다”고 하는데 “플랙스타이푼이 이러한 시도를 눈치 채고 봇들을 전부 새로운 서버로 이주시키려 하고, 동시에 그들을 공격하는 공격자인 저희를 겨냥해 디도스를 시도하려 했다”고 설명했다. 하지만 이는 패착이었다. “여러 파트너들과 공조하고 있었기 때문에 디도스 공격을 막는 건 그리 어렵지 않았고, 심지어 공격자들의 새 인프라까지 파악할 수 있었습니다. 그러다가 플랙스타이푼은 배후에 FBI가 있는 걸 알고는 새 인프라도 전부 포기하고 자취를 감췄습니다.”
이러한 과정을 거쳐 FBI는 플랙스타이푼의 봇넷에 수십만 대의 장비가 연결되어 있음을 알아냈다고 한다. 그러고 나서는 해당 장비들로부터 멀웨어를 제거하기 위한 방법들을 동원했다. 멀웨어가 사라진 장비의 경우 봇넷으로부터 풀려나게 됐다. “하지만 발견된 모든 장비들로부터 멀웨어를 제거한 것도 아니고, 저희가 감염된 모든 장비를 발견했다고 보장할 수도 없습니다. 따라서 저희의 싸움은 한동안 계속될 것으로 보입니다.”
페이퍼컴퍼니
플랙스타이푼은 페이퍼컴퍼니를 하나 세워두고 자신들의 행적을 감추려 했다. “이들은 정보 보안 업체로 스스로를 포장했습니다. 이름은 인테그리티테크놀로지그룹(Integrity Technology Group)이었고요. 하지만 사실은 중국 정부를 위해 각종 정보를 수집하거나 해킹 공격을 시도하는 단체였죠. 그 사실을 회사 의장이라는 사람이 공개적으로 인정하기도 했었습니다.”
가짜 기업까지 내세운 플랙스타이푼의 봇넷 활동은 언제부터 시작된 것일까? 이 부분에 대해서 FBI는 뚜렷한 답을 제시하지 않았는데, 보안 업체 블랙로터스(Black Lotus)가 우연치 않게 플랙스타이푼의 봇넷 활동에 대한 보고서를 때마침 발표했다. 플랙로터스는 플랙스타이푼을 랩터트레인(Raptor Train)이라고 부른다. 이 보고서에 따르면 플랙스로터스는 “최소 4년 동안 봇넷 활동을 통해 군, 정부, 통신, 국방 분야의 단체들을 공격해 왔다”고 한다. 피해자는 주로 미국과 대만에 있었다고도 블랙로터스는 덧붙였다.
블랙로터스 역시 “우리가 발견한 것이 실상의 전부인지 아닌지 확실하지 않다”고 말하며 장기화 된 싸움을 예고했다. “공격자들은 이미 여러 산업과 나라를 공략하고 있습니다. 봇넷과 캠페인의 전체 규모를 파악하는 것도 중요하지만, 그 와중에 이번 FBI의 작전처럼 멀웨어를 삭제하고 공격자의 서버와 감염된 장비의 연결 고리를 끊어내는 실질적인 노력을 하는 것도 중요합니다. 그래야 봇넷이 무력화되고 공격이 약해지거든요. 이들의 규모를 파악한다 한들 실질적으로 위험성을 완화시키지 못하면 아무 소용이 없습니다.”
미국과 대만에 집중되어 있어
원래 중국의 APT 조직들 혹은 사이버 범죄 조직들은 나라나 지역을 가리지 않고 고루 공격을 하곤 했다. 하지만 최근 들어 이들은 미국과 대만에 좀 더 집중하고 있는 모습을 보이고 있다. 미국과 대만이라면 민간 부문이나 공공 부문은 특별히 가리지 않는 것으로 보인다. 이는 중국이 수년 째 대만 침공의 뉘앙스를 잔뜩 풍기면서 국제 관계를 이어가고 있기 때문이다. 미국은 대만을 보호하겠다고 호언장담한 상황이고, 실제 아시아 인근 지역의 군사력을 한층 높였다. 이 때문에 괌에 있는 미군 시설들이 해킹 공격의 대상이 되고 있기도 하다.
현재 백악관은 이 플랙스타이푼이 APT 조직까지는 아닌 것으로 파악하고 있다. 오히려 민간인들로 구성된 해커들이지만, 개인의 금전적 이득보다 자국 정부를 대신해 싸우고 있는 것으로 보인다. 대신 최근 활동이 활발한 중국의 해킹 그룹 볼트타이푼의 경우, APT 조직에 더 가까운 것으로 파악되고 있다.
3줄 요약
1. 26만대가 넘는 사물인터넷 장비들로 구성된 봇넷 발견됨.
2. 이 봇넷의 배후에는 중국의 해킹 조직인 플랙스타이푼이 있음.
3. FBI와 여러 정부 기관들이 이 봇넷을 성공적으로 폐쇄시킴.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
