구글 클라우드 "中 해커 그룹 진화…내부 네트워킹 인프라도 표적"

[아이뉴스24 윤소진 기자] 구글 클라우드 산하 사이버 보안 기업 맨디언트는 글로벌 네트워크 솔루션 전문 기업 주니퍼네트웍스에서 발생한 사이버 공격의 배후에 중국 해커 그룹이 있다고 14일 밝혔다.

중국 연계 사이버 스파이 그룹인 UNC3886가 지원이 종료된 주니퍼 MX 라우터에 변종 멀웨어를 설치하는 등의 방식으로 공격을 했다는 것이다.

UNC3886은 소프트웨어의 취약점을 공격하는 ‘제로데이 익스플로잇’을 통해 네트워크 장치와 가상화 기술을 표적으로 삼아왔다. 주로 미국과 아시아 지역의 국방, 기술 및 통신 기업을 집중 공격하고 있다.

맨디언트와 주니퍼네트웍스가 합동 조사한 결과 지원 종료된 다수의 주니퍼 MX 라우터에 6가지 변종 멀웨어가 설치된 것을 발견했다. 각 멀웨어는 라우터에 접근해 오랜 기간 탐지를 피하도록 제작됐다. 시스템의 취약점에 따른 맞춤화된 기능을 포함하고 있는 것이 특징이다.

맨디언트는 UNC3886가 멀웨어의 영향을 받은 디바이스에 대해 최고 관리자 권한을 획득했음을 확인했다. 이들은 새로운 공격 기법인 ‘프로세스 인젝션’을 통해 합법적인 프로세스의 메모리에 악성 코드를 주입해 주노스 운영체제의 보안 메커니즘(Veriexec)을 우회한 것으로 드러났다.

조사단은 UNC3886의 전술과 기술이 날로 진화하고 있다고 경고했다. 맨디언트는 "과거 UNC3886는 네트워크 에지 디바이스 공격에 집중해왔지만 이번 공격은 그들이 인터넷 서비스 제공업체(ISP)의 라우터와 같은 내부 네트워킹 인프라도 표적으로 삼고 있음을 시사한다"며 "네트워크 디바이스를 최신 보안 패치가 포함된 버전으로 업그레이드 할 것을 권장한다. 특히 주니퍼네트웍스의 고객은 권장사항을 검토하고 적용할 것을 강력히 권고한다"고 밝혔다.

추가로 △중앙 집중식 ID 및 액세스 관리(IAM) 시스템 구축 △정의된 템플릿 및 표준에 대한 구성 유효성 검사를 지원하는 네트워크 구성 관리 구현 △모니터링·취약점 관리 강화 △디바이스 수명 주기 관리 프로그램 구축 △네트워크 장치 관리 시스템 보안 수준 강화 △선제적인 위협 인텔리전스 활용 등을 권고했다.