중국 해커그룹이 마이크로소프트(MS)가 제공하는 있는 기술정보공유사이트인 테크넷을 C&C서버에 접속하기 위한 경유지로 악용해 보안담당자들의 추적을 피하면서 공격을 수행하고 있다는 정황이 포착됐다.
최근 파이어아이가 블로그를 통해 공개한 보고서에 따르면 테크넷 사용자의 프로필, 이들이 올린 댓글 내용을 수정해 C&C서버에 접속할 수 있는 IP주소를 숨겨놓는 수법이 쓰이고 있는 것으로 나타났다.
보고서에 따르면 파이어아이가 추적하고 있는 중국 해커그룹인 'APT17'은 일명 '블랙커피(Blackcoffee)'라는 악성코드를 사용해 공격 대상 PC를 감염시켜 추가 악성코드를 다운로드하거나 각종 정보를 탈취하는 수법을 쓰고 있다. 이 그룹은 2013년부터 활동하기 시작해 미국 정부, 국제로펌, 글로벌 IT기업 등의 정보를 빼내는 것으로 알려졌다.
일반적으로 감염된 PC에 공격명령을 내리거나 수집한 정보를 저장해 놓는 C&C서버에 대한 IP주소가 발견되면 기업 보안담당자 등 보안전문가들은 해당 주소에 대한 접속을 차단시킨다.
그러나 APT17이 사용한 C&C서버 주소 은닉 수법은 탐지가 어려울 뿐만 아니라 IP주소를 차단할 경우 여러 IT담당자들이 윈도 기술문제, 보안문제 등에 대한 정보를 확인할 수 있는 테크넷을 활용할 수 없게 된다.
파이어아이코리아 박성수 선임연구원은 "이런 방법을 통해 공격자들이 악성코드의 생존시간을 늘릴 수 있다"고 밝혔다.
이런 수법이 처음 등장한 것은 아니다. 박 연구원에 따르면 국내에서도 주요 웹사이트에 C&C서버 IP주소를 은닉시키는 수법을 악용한 사례들이 나온 적이 있었다는 설명이다.
문제는 이 수법을 동원하면 IP주소에 대한 악성여부를 판단해 차단하는 평판기반 대응방식으로는 해결이 어렵다는 점이다. 테크넷과 같은 대표 사이트를 차단하기 어렵기 때문이다. 더구나 테크넷 자체 서버가 해킹된 것이 아니라 댓글이나 프로필이 악용된 것이기 때문에 해당 서비스를 운영하는 보안담당자 입장에서도 문제를 발견하기가 어렵다.
이에따라 박 연구원은 "유입되는 트래픽의 악성여부를 미리 실행해보고 파악하는 등의 방식으로 악성코드 유입을 원천차단할 필요가 있다"고 밝혔다.
