중국 국영 해커 APT41, 6개 국가 침투 '사이버 절취'

사이버 보안 회사 맨디언트(Mandiant)는 최근 APT41로 알려진 중국의 국영 해커 그룹이 웹 애플리케이션의 취약점을 악용하여 지난 2021년 5월부터 2022년 2월 사이에 이름이 알려지지 않은 6개국 네트워크에 침투하여 손상시킨 사실을 밝혔다.

맨디언트는 “APT41은 다른 벡터를 통해 환경을 재침략하거나 새로운 취약점을 신속하게 운영하여 초기 액세스 기술을 신속하게 조정할 수 있다”고 말했다.

이어 “APT41은 주로 악성 뷰스테이츠(ViewStates)를 사용하여 대상 웹 애플리케이션에 대한 코드 실행을 트리거했다. ASP.NET 프레임워크 내에서 뷰스테이트는 서버에 대한 HTTP 요청의 응용 프로그램 페이지 및 제어 값을 저장하는 방법이다. 뷰스테이트는 숨겨진 양식 필드의 Base64 인코딩 문자열로 각 HTTP 요청과 함께 서버로 전송된다. 웹 서버는 문자열을 디코딩하고 문자열에 추가 변환을 적용하여 서버가 사용할 수 있는 데이터 구조로 압축을 풀 수 있다. 이 프로세스를 역직렬화라고 한다”고 맨디언트는 설명했다.

FBI와 미 사이버 보안 및 기반 시설 보안국(CISA)은 APT41 공격 대상이 광범위한 국가 대상기관, 예를 들면 건강, 교통, 노동(실업 수당 시스템 포함), 고등 교육, 농업, 법원 네트워크 및 시스템이 공격 대상에 포함되었다고 말한다.
우리가 주목할 점은 우크라이나에서 전쟁이 진행 중인 가운데 세계 이목이 쏠리고 있는 상황에서 전 세계의 다른 주요 위협 행위자가 평소와 같이 사이버 절취 작전을 계속하고 있다는 점이다.

특히 주변에서 가장 많은 위협 행위자 중 하나인 APT41의 절취행위는 오늘날까지 계속되고 있다는 점을 감안할 때 다른 사이버 공격 활동들도 여전히 중단되지 않았음을 알고 방어에 관심을 기울여야 한다.

미국 보안회사들은 APT41을 “중국 정부가 후원하는 사이버 위협 그룹”으로 판단했으며 미국 관리들은 이전에 이를 베이징의 국가안보부와 연결했다.

2020년 가을, APT41의 구성원은 미국과 해외의 100개 이상의 민간 기업에 영향을 미친 해킹으로 법무부에 의해 기소되었다.

APT41 절취행각의 전체 목표는 아직 파악되지 않았다. 정부 네트워크 접속 권한을 얻으려는 그들의 집요함은 익히 알려져 있고 그것들을 도처에서 발견했고 사이버 공간을 불안하게 한다.

FBI 국장 크리스토퍼 레이는 지난 2월 “중국인들이 정보와 기술을 훔치려 한다”고 비난했다. 그는 서방 기업에 대한 사이버 공격을 시작한 혐의에 중국 공산당을 포함시켰다.

2021년에 미국, 유럽 연합, 북대서양기구(NATO) 및 기타 동맹 지도자들은 마이크로 익스체인지 이메일 서버에 대한 대규모 사이버 공격을 지시하고 후원한 이면에 중국 정부가 있다고 지목했다.

물론 중국 외교부는 마이크로소프트 익스체인지를 겨냥한 사이버 공격에 중국이 연루됐다는 점을 부인했다.

중국 해커들은 2월에 발표된 월스트리트 저널과 뉴욕 포스트의 발행인인 뉴스코프(News Corp.)를 표적으로 한 장기간 지속되는 사이버 공격을 조직한 것으로 널리 의심되고 있다.

미국 정보기관은 글로벌 사이버 위협에 대한 연례 평가에서 “중국이 미국 정부와 민간 부문 네트워크에 가장 광범위하고 가장 활동적이며 지속적인 사이버 스파이 위협을 가하고 있다고 평가한다”고 말했다.

많은 미국인들은 중국인들이 이런 일을 하고 있다는 것에 대해서나 정부의 조치에 대해 조금도 놀라지 않는다. 중국의 절취 행각에 익숙해 있으며 반감이 높다.

우리도 대상이 될 수 있다. 사이버 공간에서의 침투에 대비를 강화할 때다.


박정한 글로벌이코노믹 기자 park@g-enews.com