주요 인물인 cpyy 역추적하니 중국 군부대로 연결...추적과정 공개   

[보안뉴스 문가용] 지난주 크라우드스트라이크가 발표한 보고서로 중국정부가 사이버범죄에 연루되어 있다는 정황이 드러났다. 美·中 간의 2차 사이버전 논란이 확산되는 등 큰 파장을 일으키고 있는 60페이지 분량의 이 보고서 내용을 본지에서 시리즈로 정리한다.
바쁜 독자를 위한 30초 총정리
1. 퍼터 팬더는 중국 상해에서 활동하는 사이버스파이 그룹이다. 이 그룹은 중국인민해방군(PLA)의 제3총참모부 12국 61486부대 소속으로 보인다. 이 부대는 공간 기반 신호 정보 임무를 담당하고 있다.

2. 12국 61486부대는 상해에 본부를 두고 있으며 중국 최고의 신호 정보 수집 및 분석기관으로 알려져 있다. 중국의 우주감시 네트워크를 보조하고 있다.

3. 동기부여가 확실한 그룹으로 미국의 정부, 국방, 연구, 기술 분야를 노려 정보를 훔치고 있다. 특히 우주, 항공우주 산업, 통신 분야에서 활발히 활동하고 있다.

4. 적어도 2007년부터 활동해온 것으로 보인다. 미국의 국방 분야와 유럽의 위성 및 우주항공 산업 분야를 집요하게 파고들고 있다.

5. 이들은 컴퓨터 사용자들이 대다수 사용하고 있는 애플리케이션인 PDF 리더나 마이크로소프트 오피스를 주로 활용해 커스텀 멀웨어를 뿌렸다.

6. 그룹 내에서 cpyy라는 이름으로 활동하고 있는 인물을 밝혀냈다. 그는 퍼터 팬더가 활동하는 데에 필요한 도메인을 조달하는 역할을 한 것으로 보인다.
C&C 도메인을 추적하다
오른쪽 표는 C&C(C2) 서버 구축을 위해 마련한 도메인들이다. 몇몇 사이트들은 기존에 존재했었고 운영되고 있었다. 하지만 중국 측에서 이들을 뚫어낸 것으로 보인다. 여기에 나오는 도메인 대부분은 공격을 위해 이번에 새롭게 등록됐다. 기존에 있던 사이트를 활용하는 경우, 이메일 역시 기존 사이트에 있는 메일 주소를 그대로 사용했다.
 
여기서 제일 먼저 눈에 띄는 건 cpyy라는 인물이 C2 도메인을 상당수 등록했다는 점이다. 이 인물에 대해서는 뒤에 더 얘기하기로 한다. 이 도메인들 중 대부분의 등록자 정보가 바뀌었다. 이는 공격자가 자신의 신분을 숨기기 위한 방침으로 보인다. 또한 등록정보 중 이메일 주소를 2014년 3월 내에 mike.********_mj@yahoo.com로 바꾼 흔적도 나타났다.
 
이렇게 정보를 대대적으로 수정한 것은 퍼터 팬더 측에서 보안점검을 피해가기 위해 한 것으로 보인다. 혹은 비슷한 방법으로 또 다른 프로젝트를 진행하기 위한 사전 작업일지도 모른다. 왼쪽 표는 퍼터 팬더 C2 도메인에 사용된 이메일 주소로 등록된 또 다른 도메인들을 찾아 정리한 것이다.


퍼터 팬더가 노린 주 목표 대상은 우주, 위성, 원격 센서 기술(특히 유럽), 우주항공(특히 유럽), 일본 및 유럽의 원거리 통신 업체였다. 이 분야에 있는 기관이나 업체들은 앞으로도 공격 대상이 될 것으로 보인다.
자꾸만 등장하는 주요 인물, CPYY
C&C 서버들을 모으고 분석하다보니 위에 말한 대로 cpyy란 인물이 자꾸만 등장했다. 이를 파헤치기로 했다. cpyy.net이라는 도메인의 등록 정보를 보면 cpyy의 이름이 첸 모씨로 표기되어 있다. cpyy 중 cp가 첸 모씨의 이니셜일 가능성이 높기 때문에 이는 실제 이름으로 보인다. 추적하다보니 cpyy의 개인 블로그까지 발견하기에 이르렀다. 이 블로그의 프로파일을 보면 이 인물이 1979년 출생했으며,  직업은 군인/경찰로 되어 있는 것을 볼 수 있다.

 
이 블로그에는 IT라는 카테고리가 있는데 여기에는 포스팅이 두 개 있다. 블로그의 주인은 네트워크와 프로그래밍에 관심이 있는 것으로 보이며 2002년과 2003년에 해당 분야에 대한 학습 및 연구를 수행한 것으로 보인다.

크라우드스트라이크는 cpyy의 것으로 보이는 블로그를 하나 더 발견한 바 있다. 이 블로그는 마지막으로 업데이트 된 것이 2007년이며 여기에는 블로그 주인이 상해에 산다고 나와 있다. 그밖에 다른 개인 정보들은 위에 명시한 블로그와 동일하다. 


cpyy는 XCar라는 포럼에서도 활동했다. 여러 사용자들과 차에 대한 이야기를 나눴는데 여기에는 ‘우유 노란 패키지’나 ‘커스터드 패키지’, ‘노른자 패키지’ 등의 말들이 반복적으로 나타난다. 해커들끼리 사용하는 은어로 보이나 아직 그 정확한 뜻까지는 파악하지 못했다. 블로그 등의 활동을 통해 cpyy라는 인물의 사진도 확보했다.
 
cpyy의 블로그와 여러 인터넷 활동을 추적해 사진을 모아보니 이 인물과 군대와의 연결고리를 유추할 수 있었다. 군복으로 보이는 유니폼을 입은 사람들 앞에서 철봉을 하고 있고, 그 자신으로 추정되는 인물이 군복으로 보이는 바지를 입고 파티를 즐기는 사진도 있다. 무엇보다 ‘기숙사/사무실’이란 카테고리 안에 있는 사진에는 중국인민해방군의 군모가 2개나 등장하기도 했다.


흥미로운 것은 ‘기숙사/사무실’ 카테고리 안에 어떤 건물의 외형이 나오면서부터였다. 이 건물의 바깥에는 대형 위성접시도 있었기 때문이다. 또한 이 건물의 창문에 나타나는 반사 효과를 보니 레이저 도청을 막기 위한 장치가 설치되어 있다는 걸 유추할 수 있었다.




한 명을 쫓다가 부대를 통째로 
이렇게 발견한 사진들로 문제의 건물과 위성 접시가 있는 곳을 대략 파악할 수 있다. 그래서 지도 소프트웨어를 사용해 정확한 지점을 찾아냈다. 또한 다른 사용자들이 찍은 건물의 사진과 위성사진, 거리 확대 등을 모두 대조해 대략 파악한 위치가 정확함을 알 수 있었다.


중국 정부가 만든 공식 웹 페이지에는 중국인민해방군에 대한 정보가 자세히 나오는데 이중엔 61486부대의 주소까지 나온다. 그리고 이 주소는 위의 사진 및 지도 소프트웨어를 통해 찾아낸 주소와 동일하다. 그러므로 cpyy의 앨범속 사진은 61486부대가 위치해 있는 건물일 가능성이 매우 높다.


중국 정부가 발행한 한 보고서에는 이 61486부대의 활동에 대해 “위성통신의 방해 및 도청, 우주 기반의 신호 정보 수집 및 분석을 담당한다”고 공식적으로 명시되어 있는데, 이는 미국 정부가 의심하고 있는 중국인민해방군의 행위와 정확하게 일치한다.

결론 cpyy라는 인물은 퍼터 팬더의 활동을 추적하는 과정에서 꾸준히 발견되고 있으며, 이 인물을 추적하면 중국인민해방군의 제12총참모부 소속 12국 61486부대가 드러난다. 그러므로 퍼터 팬더의 활동을 중국인민해방군 소속 61486부대의 활동이라고 규정하는 것이 가능하다는 게 보고서의 결론이다. 이들의 주요 목표는 일본과 유럽, 미국의 항공, 우주항공, 통신 시설 및 업체이다.

 
다음 기사에서는 기술적인 분석내용을 보다 상세히 소개할 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>