2024-03-28 23:20 (목)
중국 사이버 첩보조직 '템프페리스콥', 최근 사이버공격 활동 분석
상태바
중국 사이버 첩보조직 '템프페리스콥', 최근 사이버공격 활동 분석
  • 길민권 기자
  • 승인 2018.07.12 15:11
이 기사를 공유합니다

▲ 템프페리스콥의 활동 지역 및 현황. 파이어아이 제공.
▲ 템프페리스콥의 활동 지역 및 현황. 파이어아이 제공.
중국 사이버 첩보조직 '템프페리스콥(TEMP.Periscope)'의 활동 범위를 조사한 결과, 템프페리스콥이 캄보디아의 선거 시스템과 관련된 다수의 기업체에 위협을 가하는 등, 캄보디아 정치 현황에 큰 관심을 보이고 있다는 사실이 드러났다. 또한 캄보디아 선거 이외에도 동아시아, 미국, 유럽 등 전 세계에 걸쳐 사이버 공격을 가하고 있다는 사실이 확인됐다. 

파이어아이에 따르면, 템프페리스콥은 올해 7월 29일에 열릴 총선을 관리하는 캄보디아 정부 기관에 위협을 가할 뿐만 아니라 반대세력도 노리는 활동을 보였다. 템프페리스콥은 미국의 방위산업기지와 유럽의 화학회사 등 다른 기존 타깃을 대상으로 한 다양한 공격 활동에도 동일한 악성 인프라를 사용했다.

이러한 활동은 템프페리스콥이 광범위한 침입구조 및 다양한 악성 툴을 통해 대규모의 피해자를 겨냥한다는 사실을 나타내며, 이는 전형적인 중국 기반의 지능형 지속 공격(advanced persistent threat, 이하 APT)과 동일 선상에 있는 것으로 보인다. 파이어아이는 이러한 조직활동이 중국 정부에 캄보디아 선거와 국정운영에 대해 넓은 가시성을 제공한다고 예측한다. 또한 템프페리스콥은 동시다발적으로 여러 피해자 조직에게 대규모 침해공격이 가능하다.

파이어아이는 과거 템프페리스콥과 관련 있을 거라 추측한 툴셋을 관찰하고, 그들의 공격대상이 과거에 알려진 중국 기반 APT 조직과 밀접한 점을 발견했다. 또한 파이어아이는 명령 및 제어 (command and control, C2) 서버에 원격으로 액세스 및 관리에 사용된 중국 하이난 소재의 IP 주소를 확인했다.

이 조직은 2013년경부터 활동하기 시작했으며, 주로 해양 관련 엔지니어링 회사, 해운업, 제조업, 방위산업, 정부기관 및 학술조사 대학교 등을 공략해 왔다. 또 전문 컨설팅 서비스, 하이테크 산업, 헬스케어, 매체 및 출판 기관 등을 공격 대상으로 삼은 경우도 있었던 것으로 조사됐다.

파이어아이는 템프페리스콥이 통제하는 것으로 의심되는 세 개의 인터넷 공개 목록 상의 파일들을 분석했으며, 이를 통해 조직의 목적, 공격 전략 및 수많은 기술 검증에 대한 정보를 확인했다. 세 가지 서버 모두 인터넷에 공개된 목록으로, 자격 정보가 없더라도 접근할 수 있었다. 공개된 공격 전략은 늦어도 2017년 4월경부터 캄보디아 선거에 가장 집중하고 있는 현재 시점까지 포함된 것으로 보인다.

세 개 서버의 로그를 조사한 결과, 중국 하이난에서 잠정적 사이버 공격자의 IP주소를 추적할 수 있었다. 또한 다양한 지역에 걸쳐 교육, 항공, 화학, 방위, 정부, 해양 및 기술 산업 분야 등의 피해 조직을 노린 악성코드와 컨트롤 체크인(control check-in)에 대한 정보도 발견했다. 서버의 파일들은 기존에 이미 확인된 악성코드인 ‘에어브레이크(AIRBREAK)’, ‘스캔박스(SCANBOX)’를 비롯해 ‘대드보드(DADBOD)’ 등 새로운 악성코드도 포함한다.

한편 캄보디아 정부 기관 등을 노렸던 이들의 악성 인프라는 아시아, 유럽, 북미 지역의 교육, 항공, 화학, 해양, 기술 등 다양한 산업의 민간기업을 상대로도 사용되었다.

이 사이버 공격 중 많은 위협이 해양 및 방위 산업을 대상으로 한 템프페리스콥의 공격 활동과 비슷한 양상을 보이고 있다. 아시아 지역에서도 활동하는 유럽 화학회사를 대상으로 한 사이버 위협 또한 발견됐다.

한편 발견된 에어브레이크 다운로더는 자바스크립트 기반의 백도어 툴로, 공격받은 웹사이트의 감춰진 문자열로부터 명령어를 추출해 공격자에게 통제권을 제공한다. 대중에 공개되어 있는 웹사이트에서 발견된 이러한 에어브레이크 다운로더의 파일명을 보면, 이 조직이 지속적으로 아시아의 지정학적 부분을 공격대상으로 삼는 것을 알 수 있다.

중국 기반의 사이버 첩보 조직이 주로 사용하는 '스캔박스'는 공격자의 정찰 활동을 돕는 프레임워크다. 스캔박스가 심어진 웹사이트를 방문하는 이용자의 시스템을 감염시키는 기능을 가지고 있다. 스캔박스가 활성화된 서버인 ‘mlcdailynews[.]com’은 현재 캄보디아의 정치 캠페인 및 폭넓은 활동에 대한 기사를 제공하며, 이 서버에서 있는 기사들은 주로 러시아와 NATO 등, 미국과 동아시아 간 지정학적인 수익구조에 관련된 대상을 상대로 작성되었다.

피해자들은 대부분 전략적으로 손상된 웹사이트나 미끼성 기사가 있는 악성 링크 첨부 이메일을 통해 스캔박스 서버로 유인된 것으로 보인다. 미끼로 쓰인 기사는 실제 온라인상에서 쉽게 이용 가능한 오픈 소스 보도자료들로, ▲프레시뉴스 ‘북미정상회담_싱가폴의 역할’ ▲로이터 ‘북미회담, 조건 달린 평화 선언’ ▲U.S. 뉴스 '트럼프, 주한미군 군사훈련 연기’ 등 스캔박스 서버에 복사된 기사들이 확인됐다.

템프페리스콥의 악성코드 공격 목록

파이어아이는 템프페리스콥이 사용한 세 개 서버의 악성코드 공격 목록을 분석한 결과, 에어브레이크, 머키탑(MURKYTOP) 및 홈프라이(HOMEFRY) 등 기존에 이미 알려진 툴은 물론, 이블테크(EVILTECH) 및 대드보드(DADBOD) 등 새로운 공격 툴 또한 찾아냈다.

템프페리스콥의 최근 활동과 관련 데이터 분석 결과, 이 조직은 중국에 기반하고 있을 가능성이 높은 것으로 나타났다. 그 근거는 다음과 같다.

△제어판 액세스 로그에서 발견한 정보를 통해 공격자가 중국에 있으며 중국어로 설정한 컴퓨터를 사용 중인 것을 확인

△서버의 로그 확인 시, 공격자가 소프트웨어에 접속해 피해자의 장치에 악성코드를 심기 위해 사용한 IP주소들이 기록되어 있으며 이 IP 주소들 중에 ‘112.66.188.xx’는 중국 하이난의 IP주소인 것으로 확인. 이를 제외한 나머지 IP주소들은 모두 가상 공간의 개인 서버를 사용하였으나, 공격 잔해를 보면 중국어로 설정된 컴퓨터를 통해 로그인했다는 사실 확인.

파이어아이가 발견한 새로운 사이버 공격 활동은 템프페리스콥에 대한 새로운 인사이트를 제공한다. 파이어아이는 이 공격그룹이 해양산업을 공략한다는 것은 인지하고 있었지만, 새로 발견한 사이버 위협을 통해 이들이 전략적으로 중요한 국가의 정치 체계 역시 노린다는 사실을 발견했다.

캄보디아는 ASEAN 등 국제 포럼에서 남중국해 분쟁에 관련해 중국의 든든한 후원자이자 중요한 파트너였다. 캄보디아는 ‘독재정치’로 구분되어 있지만, 최근 발생한 말레이시아의 정권교체는 중국에게 충격적인 반전으로 다가왔다. 이는 중국이 7월 29일 예정인 캄보디아의 선거를 앞두고 캄보디아를 감시망에 포함하게 된 이유로 보인다.

이에 따라 중국이 캄보디아 선거를 총괄하는 선거관리위원회를 공격 대상으로 삼은 것은 몹시 중요한 사안이다. 아직은 이 위협이 인텔리전스 수집이 목적인지, 더욱 복잡한 사이버 공격에 대한 준비인지 정확히 알기에는 정보가 부족하다. 하지만 구체적인 목적을 막론하고 이번 이슈는 전세계를 통틀어 가장 최근에 생긴 공격적인 민족국가 선거공격의 표본이라고 할 수 있다.

파이어아이는 앞으로 템프페리스콥이 더 넓은 범위의 정부기관, 국제 기구 및 민간산업을 공략 할 것으로 예측한다. 그러나 이 그룹이 해양 산업에 가장 집중할 지 몰라도, 몇 개 사건을 통해 이들이 동남아시아에서 사업을 운영하는 유럽 기업과 연안 지역 국가의 내정을 비롯해 광범위한 활동 범위를 보인다는 사실을 알 수 있다. 파이어아이는 템프페리스콥이 가까운 미래, 이 지역에서 활동하는 조직에게 치명적인 위협이 될 것으로 예상한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★