[쿠키뉴스] 구현화 기자 = 블랙베리(BlackBerry Limited)는 20일 중국 정부를 위해 활동하는 5개의 연관된 지능형 위협(Advanced Persistent Threat, 이하 APT) 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 공격하면서 어떻게 거의 10년 동안 발각되지 않을 수 있었는지에 대한 분석 보고서를 공개했다.

이번에 발표된 블랙베리 보고서는 최근 미 법무부가 56개의 모든 FBI 현장 사무소에서 공개한 수사 중 1000건 이상이 관련된 지적 재산(intellectual property)을 노린 경제 스파이 활동을 다뤘다.

블랙베리는 이 보고서에 언급된 APT 그룹은 도구, 기술, 인프라 및 대상 정보를 다른 APT 그룹뿐만 아니라, 정부 기관과도 쉽게 공유하는 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있을 것으로 예상했다. APT 그룹은 일반적으로 각자의 목표를 추구하지만, 리눅스 플랫폼을 타깃할 땐 이러한 그룹 사이에 상당한 수준의 조직적 움직임이 있었던 것으로 나타났다고 블랙베리 측은 설명했다.

특히 APT 그룹들은 모바일 멀웨어를 기존의 데스크톱 멀웨어와 결합해 크로스 플랫폼 감시 및 스파이 활동 캠페인에 활용하는 방법을 사용했다. 안드로이드 멀웨어 샘플 중 하나는 상용화된 침투 테스트 도구의 코드와 매우 흡사하지만 해당 상용 도구가 시중에 나오기 거의 2 년 전에 이미 생성된 것으로 보인다.

보고서는 애드웨어용 코드 서명 인증서 사용을 통해 네트워크 방어자를 우회하는 유명한 멀웨어의 새로운 변종 몇 가지를 공개했다. 지속적인 애드웨어 경고 속에서 AV 레드 플래그가 그저 똑같은 알람 신호로 보고 묵살되면서 감염율을 증가시키는 것이다.

해당 공격 활동의 크로스 플랫폼 측면은 급격하게 늘어난 원격 근무로 인해 제기된 보안 문제에서도 특히 우려되는 부분이라고 블랙베리 측은 설명했다. 특히 코로나19로 재택 근무 기간에 줄어든 현장 인원은 위험을 더 악화시키는 결과를 초래한다는 것이다.

특히 리눅스는 전 세계인들이 많이 사용하는 플랫폼이다. 넷크래프트(Netcraft)와 리눅스 파운데이션(Linux Foundation)의 2019, 2020년 자료에 따르면, 리눅스는 상위 100만 개의 웹사이트를 거의 대부분 온라인으로 운영하고, 모든 웹 서버의 75%, 전 세계 슈퍼 컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있어 문제가 심각하다. 

블랙베리 최고 정보보안 책임자 존 맥클러그(John McClurg)는 “이번 조사는 이전에 확인된 것보다 더 체계적인 모습으로 거대 조직의 네트워크 인프라 근간을 겨냥하는 스파이 활동을 잘 보여준다”며, “이 보고서는 중국 IP 탈취 이야기의 새로운 장을 열어 우리에게 새로운 교훈을 제공한다”고 덧붙였다.

kuh@kukinews.com