블랙베리 “中 APT그룹이 리눅스 서버 10년간 공격해”

[이데일리 이후섭 기자] 글로벌 보안기업 블랙베리는 중국 정부를 위해 활동하는 5개의 연관된 지능형 지속위협(APT) 그룹에 대한 분석 보고서를 20일 발표했다.

이번 보고서는 APT 그룹이 안드로이드로 구동되는 리눅스 서버, 윈도우 시스템 및 모바일 디바이스를 전략적으로 공격하면서도 거의 10년 동안 발각되지 않을 수 있었던 이유와 공격 트렌드 분석을 담고 있다. 보고서에서는 최근 미국 법무부가 56개의 모든 FBI 현장 사무소에서 공개한 수사 중 1000건 이상의 지적재산을 노린 경제 스파이 활동에 대한 인사이트를 제공하고 있다. 해당 공격 활동의 크로스 플랫폼 측면은 급격하게 늘어난 원격근무로 인해 제기된 보안 문제에서도 특히 우려되는 부분이다. 지속적인 공격 캠페인에 사용된 장치는 재택 근무 기간을 노리고 이미 심어져 있으며, 핵심 시스템의 보안을 유지하기 위해 줄어든 현장 인원은 위험을 더 악화시키는 결과를 초래한다.

넷크래프트와 리눅스 파운데이션의 자료에 따르면 리눅스는 상위 100만개의 웹사이트를 거의 대부분 온라인으로 운영하고 모든 웹 서버의 75%, 전 세계 슈퍼 컴퓨터의 98%, 주요 클라우드 서비스 제공 업체의 75%를 차지하고 있다. 대부분의 대기업은 홈페이지를 운영하고, 중요한 데이터를 저장하는데 리눅스를 사용하는 것으로 조사됐다.

블랙베리 최고 제품 아키텍트 에릭 코넬리우스는 “대부분의 보안업체는 서버 랙 대신 프론트 오피스용으로 설계된 제품에 엔지니어링과 마케팅을 집중하기에 일반적으로 사용자 대면이 아닌 리눅스에 대한 대비는 약하다”며 “APT 그룹은 이런 보안 격차를 정조준하고, 타깃 영역의 지적재산을 탈취하려는 이익을 위해 수년간 아무도 모르게 이 점을 악용해 왔다”고 말했다.

이번 보고서에 언급된 APT 그룹은 도구, 기술, 인프라 및 대상 정보를 다른 APT 그룹뿐만 아니라 정부 기관과도 쉽게 공유하는 중국 정부와 계약을 맺은 민간 전문가들로 이뤄져 있을 것으로 예상된다. APT 그룹은 일반적으로 각자의 목표를 추구하고 다양한 공격 대상에 집중해 왔다. 하지만 리눅스 플랫폼을 공격할 땐 이러한 그룹 사이에 상당한 수준의 조직적 움직임이 있었던 것으로 나타났다.

블랙베리 최고 정보보안책임자 존 맥클러그는 “이번 조사는 이전에 확인된 것보다 더 체계적인 모습으로 거대 조직의 네트워크 인프라 근간을 겨냥하는 스파이 활동을 잘 보여준다”며 “이번 보고서는 중국 IP 탈취 이야기의 새로운 장을 열어 우리에게 새로운 교훈을 제공한다”고 말했다.