뉴스7.“전략적 인내로 6년 잠복”... 중국 배후 해킹 조직, 동남아 대상 첩보전 전개

 

기사 요약: 중국 배후로 추정되는 해킹 조직이 동남아 군대를 대상으로 장기간 사이버 첩보전을 수행했다.

1. 이 공격은 일반 해킹처럼 무차별적으로 데이터를 탈취하는 방식이 아니라, 특정 군사 기밀을 목표로 정밀하게 이루어진 것이 특징이다. 공격 조직은 ‘CL-STA-1087’로 명명되었으며, 지능형 지속 위협(APT)의 전형적인 형태를 보였다. 수개월에서 수년에 걸쳐 장기간 잠복하며 정보를 수집하는 전략을 사용했다.

 

2. 침투 과정에서는 ‘AppleChris’와 ‘MemFun’과 같은 백도어 프로그램과 ‘Getpass’라는 자격 증명 탈취 도구가 사용되었다. AppleChris는 Dropbox나 Pastebin과 같은 정상적인 서비스를 이용해 해커의 명령 서버 주소를 숨겼고, MemFun은 필요한 시점에만 파일을 다운로드하여 실행하는 방식으로 보안 탐지를 회피했다. 또한 악성코드는 실행 전 최대 6시간 동안 아무런 동작을 하지 않는 방식으로 자동 탐지 시스템을 우회하였다.

 

3. 특히 공격자들은 ‘프로세스 할로잉(Process Hollowing)’이라는 기법을 사용하여 정상적인 윈도우 프로세스 내부에 악성코드를 숨겼다. 이로 인해 보안 시스템에서는 정상 프로그램으로 인식되어 탐지가 매우 어려워진다. 또한 Getpass 도구를 통해 시스템 메모리에서 관리자 비밀번호를 직접 추출함으로써 지속적인 접근 권한을 확보하였다.

 

4. 특수 제작된 Getpass는 관리자의 평문 비밀번호와 인증 데이터를 메모리에서 직접 추출해 지속적 시스템 접근 권한을 확보하는 데 악용됐다. 공격자들은 이러한 도구들을 유기적으로 결합해 수개월 내지 수년에 걸쳐 군사 기밀을 훔쳤다.

 

개인 의견:

‘전략적 인내’를 거쳐 목표로 한 기밀들을 탈취해간 것을 보고 해커들의 집념이 무섭게 느껴졌다. 실제로 일해본 건 아니지만, 기사를 접할 때마다 해커들의 다양한 공격이 보안체계를 뚫었다는 소식이 많아 완벽한 보안은 없다고 느껴졌다. 결국 지속적이고 반복적인 보안 검증이 필요하다고 생각한다.

 

<용어정리>

APT(Advanced Persistent Threat = 지능형 지속 위협): 오랫동안 몰래 숨어서 특정 목표만 노리는 고급 해킹
ex) 도둑이 집에 숨어서 몇 달 동안 생활하면서 핵심만 가져감

백도어: 몰래 들어오는 숨겨진 문 (해커가 계속 들어올 수 있게 해주는 통로)

AppleChris: 정상 서비스처럼 위장해서 해커의 명령을 전달하는 방식

1. 해커가 Dropbox에 명령(코드)을 업로드
2. 감염된 PC가 해당 사이트에 접속
3. 명령을 받아 실행

MemFun: 평소에는 숨어 있다가 필요할 때만 실행되는 탐지 회피형 악성코드 (DLL을 필요할 때 다운로드하여 사용)

DLL: 기능을 모아둔 파일

Getpass: 컴퓨터 메모리에서 비밀번호를 몰래 빼내는 악성코드

1. 컴퓨터는 비밀번호를 RAM(메모리)에 잠시 저장
2. Getpass는 이 정보를 노림

가능한 이유:

1. 프로그램은 메모리를 읽고 쓸 수 있음
2. 관리자 권한을 얻으면 다른 프로그램 메모리도 접근 가능

조건: 계정 로그인 상태 + 관리자 권한 필요

샌드박스 탐지: 보안 프로그램이 의심 파일을 “가짜 환경”에서 실행해 검사하는 방식

• 이상 행동 → 악성코드 판단
• 문제 없음 → 통과
• 보통 몇 분~몇십 분 정도만 검사

dllhost.exe: 정상 윈도우 프로세스

프로세스 할로잉(Process Hollowing): 정상 프로그램 내부에 악성코드를 삽입하여 실행하는 기술

1. 프로그램 실행 → 메모리에 적재
2. 악성코드가 해당 메모리에 접근
3. 기존 코드 일부 제거
4. 그 자리에 악성코드 삽입

뉴스 링크:
https://www.boannews.com/media/view.asp?idx=142646&page=1&kind=1