침해사고/위협동향

블랙베리 “중국 APT 그룹이 리눅스 서버 10년간 침투”

이종현
[디지털데일리 이종현기자] 블랙베리는 중국의 지능형지속위협(APT) 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도 시스템 및 모바일 디바이스를 10년간 공격해왔다는 보고서를 20일 공개했다.

이번에 발표된 블랙베리 보고서는 최근 미 법무부가 56개의 미국 연방수사국(FBI) 현장 사무소에서 공개한 수사 중 1000건 이상이 관련된 지적 재산을 노린 경제 스파이 활동에 대한 내용을 담았다.

블랙베리는 보고서를 통해 코로나19 발생에 대응해 인력 대부분이 격리를 위한 노력의 일환으로 재택근무를 실시하고 있지만 지적 재산 대부분은 리눅스로 구동되는 엔터프라이즈 데이터센터에 남아 있다고 경고했다.

블랙베리 조사에 따르면 보고서에서 다룬 공격자 집단은 중국 정부를 위해 활동하는 것으로 드러났다. 리눅스 운영체제(OS)가 보안에 가장 큰 초점을 두지 않는다는 점을 이용해 수년간 전략적으로 리눅스 서버를 목표로 삼았다.

해당 보고서에서 조사한 공격 그룹은 리눅스 서버를 다른 작업의 ‘네트워크 교두보’로 사용하고 있는 것으로 나타났다. 이들에게 리눅스 서버는 ‘항상 켜져 있고 항상 접속 가능한’ 상태를 유지하면서도, 제대로 된 방어 능력은 없는 고 가용성 공격 경로인 셈이다.

보고서가 다룬 5개 APT 그룹은 전략적으로 엔터프라이즈 네트워크 환경에서 중요한 역할을 하는 리눅스 서버를 목표로 삼았다. 10년에 가까운 시간 동안 감지되지 않은 채 상태를 유지했다. 이 그룹은 레드햇엔터프라이즈, 센트OS, 우분투리눅스 환경을 대상으로 스파이 활동 및 지적 재산권 도용을 하고 있다.

넷크래프트와 리눅스 파운데이션의 2019, 2020년 자료에 따르면 리눅스는 상위 100만개의 웹사이트 대부분을 온라인으로 운영하고 있다. 모든 웹 서버의 75%, 전 세계 슈퍼컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있다.

블랙베리 최고 제품 아키텍트 에릭 코넬리우스는 “대부분의 보안 업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중해 사용자 대면이 아닌 리눅스에 대한 커버는 희박하다”며 “APT 그룹은 이런 보안 격차를 정조준하고 타깃 영역의 지적 재산을 탈취하기 위해 수년간 아무도 모르게 이 점을 악용해왔다”고 주장했다.

블랙베리 보고서는 도구, 기술, 인프라 및 대상 정보를 다른 APT 그룹뿐만 아니라 정부 기관과도 쉽게 공유하는 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있을 것이라고 분석했다. 일반적으로 각자의 목표를 추구하고 다양한 공격 타깃에 집중했으나 리눅스 플랫폼을 타깃 할 때는 그룹 사이에 상당한 수준의 조직적 움직임이 있었다는 설명이다.

블랙베리 최고정보보안책임자(CSO) 존 맥클러그는 “이번 조사는 이전에 확인된 것보다 더 체계적인 모습으로 거대 조직의 네트워크 인프라 근간을 겨냥하는 스파이 활동을 잘 보여준다”며 “이 보고서는 중국 IP 탈취 이야기의 새로운 장을 열어 우리에게 새로운 교훈을 제공한다”고 말했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널