중국 지능형지속위협(APT) 공격 단체가 소프트웨어 업체 펄스 시큐어 가상사설망(VPN) 장비의 취약점을 이용해 미국과 유럽 등 주요 기관 네트워크에 침입한 것으로 나타났다.
보안 업체 파이어아이에 따르면, 이번 공격을 감행한 해커 집단은 VPN을 통한 원격 접속을 지원하는 소프트웨어 취약점을 이용해 미국과 유럽 정부 기관과 핵심 기반 시설 네트워크에 침투했다. 특히, 펄스 시큐어 VPN에서 발견된 취약점인 CVE-2021-22893을 주로 공략해 주요 기관들의 데이터를 탈취한 것으로 분석된다.
해커 집단은 공급망 공격을 시도했다. 공급망 공격은 해커가 소프트웨어 개발사의 네트워크에 침투해 소프트웨어에 악성코드를 심은 뒤 이를 통해 해당 소프트웨어를 이용하는 기업 등을 해킹하는 기법을 말한다. 해커들은 또, 펄스 시큐어 VPN을 공략하기 위해 총 16개의 악성코드를 만들어내기도 했다.
파이어아이는 중국 공산당 정부가 발표한 14차 5개년 계획을 근거로 들어, 이번 사건의 공격 배후로 UNC2630과 UNC2717을 지목했다. 실제로, 이번 공격으로 손해를 입은 업종 및 산업 분야 대부분이 중국이 핵심 육성 기술로 명시한 항목과 일치한다.
이번 공격에 대해 스티븐 엑켈즈 파이어아이 리버스 엔지니어링 전문가는 “공격자들은 최근까지 패치가 진행되지 않은 시스템들을 공격하고 있다. 패치만 적용해도 얼마든지 중국 해커들의 공격을 막을 수 있다"고 전했다.
한편, 공격의 배후로 지목된 UNC2630과 UNC2717은 작년 10월부터 올해 3월까지 미국 정부 기관과 방산 기업 등을 해킹한 것으로 밝혀지면서 지난 4월 수면 위로 정체가 떠올랐다. UNC2630은 미국의 국방 산업에 집중하고 있고, UNC2717은 유럽의 여러 단체를 공격 중인 것으로 알려졌으며, 두 집단은 중국 정부의 경제적 이득을 위해 활동하며 전략이나 도구를 공유하기도 한다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
