배너없음
사이버전 준비를 위한 열 번째 이야기 중국의 비밀병기 61398부대를 주목하라!
기자 : 관리자 날짜 : 2022-01-03 (월) 16:27



2013년 2월 미국 CNN 취재진은 중국 상하이(上海)의 12층짜리 백색 건물을 취재하다가 중국 공안 에 붙잡힌다. CNN이 취재하려고 한 것은 바로 61398 부대였으며 이 부대의 실체를 파악한 것은 미 컴퓨터 보안회사인 맨디언트(Mandiant)다. 이번 글은 맨디언트(Mandiant) APT1 보고서를 인용, 우 리 군이 준비해야할 사항을 제시하였고, APT1 보고서 핵심내용은 아래와 같다

Mandiant는 2004년부터 전 세계에서 수백 개의 기업과 정부를 대상으로 지능형 지속적 위협 (APT)보안 침해를 조사해 왔다. 2010년 1월 보고서에서는 중국 정부가 APT활동을 하고 있다는 것 을 묵인할 수 있었으나, 개입 정도를 확인할 수 있는 방법은 없었다. 그 후 3년동안 수백 건의 조사를 통해 분석한 세부 자료에 근거하여 이러한 활동을 수행하는 그룹들이 주로 중국에 본거지를 두고 있 고 중국 정부가 그들의 존재를 알고 있다는 증거를 확보했다. Mandiant는 전 세계에서 조직된 수십 개의 APT 그룹들을 계속 추적하고 있다. APT1이라고 명 명한 그룹은 중국에서 시작된 20여 개의 APT 그룹들 중 하나로서 APT1은 늦어도 2006년 이후에 광범위한 사이버 스파이 활동을 수행한 단일 조직으로 판단되었다. Mandiant가 직접 관찰한 활동 은 APT1이 수행한 사이버 스파이 활동의 일부분에 불과하나 7년에 걸쳐 거의 150건에 달하는 피 해를 일으킨 이 그룹의 침해를 상하이에 설치된 4개의 대규모 네트워크에 대해 APT1을 역 추적하 여 상당한 규모의 APT1 공격 인프라, 명령 및 제어 그리고 작업 방식(툴, 전술, 절차)을 밝혀내었다. Mandiant는 실제로 사이버 활동을 하는 핵심 인물들을 추적하고 있으며 부대 운영자들은 군인들처 럼 명령을 따라 움직인다. Mandiant가 다양한 분석을 통해 내린 결론은 APT1이 정부의 지원을 받고 있으며 중국의 사이버 위협 중에서 가장 지속적인 활동을 하고 있다는 것이다. Mandiant는 APT1이 광범위하고 장기적으 로 지속되는 사이버 스파이 캠페인을 수행할 수 있는 것은 중국 정부로부터 직접적인 지원을 받기 때문이며 인민해방군 61398 부대임무, 능력 및 자원 측면에서 61398 부대는 APT1의 활동이 발원 되는 곳과 정확하게 같은 지역에 위치해 있기 때문이다.

61398부대는 사이버전을 준비하기 위 해 최소한 10년 이상 컴퓨터 전문가를 지 속적으로 충원해 왔으며 신규 인력은 군 인사기관을 거치지 않고 자체 선발하는 등 전문성에 대해서 매우 신경을 쓰고 있 다는 것을 알 수 있다. 본부는 상하이에 2000명가량 상주할 수 있는 규모의 건물로서 일반 아파트와 찻집, 가라오케 등으로 둘러 싸여 있으며 중국의 일반 군부대처럼 병원, 주차장, 영빈관 등 지원 시설도 있는 것으로 알려졌다. 이 부대의 존재가 확인된 건 뜻밖에도 자신들의 사이버 보안에 구멍이 뚫렸기 때문이다. 맨디언트 는 최초 인터넷 만리장성인 Great Firewall of China(위대한 방화벽) 때문에 접근하기가 곤란하였다. Great Firewall(위대한 방화벽)은 특정한 IP 주소의 차단, 특정한 도메인 이름의 차단 또는 표적 키워 드가 들어 있는 URL의 여과 또는 차단, 그리고 TCP 연결의 속도 제한 또는 재 설정과 같은 방법을 사용하며 검열관들 은 중국 웹사이트, 블로그, 소셜 미디어 를 상시적으로 모니터하여 부적절한 콘 텐츠를 발견하면 즉각 삭제하기 때문에 61398부대에 대한 기능을 추적하고 확 인하기가 어려웠는데 인터넷 만리장성의 제한을 받지 않은 일부 사람들이 전용회선을 이용해서 페이 스북과 트위터 계정에 접속한 IP가 상하이의 61398부대 본부로 연결된 것이 발견되어 노출된 것이다. 그래서 맨디언트는 보고서는 “그들은 보안에 취약했다. 이 때문에 우리가 그들의 활동을 조사할 수 있 었다”라고 61398부대를 찾아낸 배경에 대해 기술했다. 지능형 지속적 위협(APT)은 한번 공격으로 끝내는 것이 아니라 임무달성이 종료될 때 까지 지속적 으로 공격하는 위협으로 이번 사건에도 몇 년동안 피해자의 데이터와 통신을 1764일(4년10개월)동안 모니터링 하고 훔쳤다. 우리가 관심 갖고 봐야할 점은 보안회사인 맨디언트(Mandiant) 전문 인력들이 어떻게 해킹공격의 근원지를 밝혀내는 과정을 보면서 우리 스스로 필요한 기술과 노하우에 대한 것을 깨달아야 할 것이다. APT의 7단계 공격 라이프 사이클은 다음 그림과 같다.

1단계 : 초기 침해 초기 침해 단계는 침입자들이 표적 조직의 네트워크에 침투하는 방법으로 자주 개인 사용자를 표적 으로 삼으며 가장 많이 사용하는 방법은 스피어 피싱이다. 스피어 피싱 메시지에는 악성 첨부 파일, 악 성 파일로 연결하는 링크가 들어 있어 침해가 가능하도록 기회를 만들어 준다. 2단계 ; 거점 확보 거점 확보에는 표적 네트워크의 시스템들을 네트워크 외부에서 제어하는 것이 포함되며 이메일 수 신자가 악성 파일을 연 후에 백도어가 설치되면 거점이 확보된 것이다. 백도어는 침입자가 시스템에 원격으로 명령을 전송할 수 있는 소프트웨어로서 거의 모든 경우에, APT 백도어는 침입자의 명령 및 제어(C2)서버에 대한 아웃바운드 연결을 시작한다. APT 침입자들이 이 방법을 사용하는 이유는 네트 워크 방화벽이 보통 네트워크 외부에 있는 악성코드가 네트워크 내부에 있는 시스템과 통신하는 것은 잘 차단하지만, 이미 네트워크 내부에 침입한 악성코드가 외부에 있는 시스템과 통신하는 것을 차단하 는 것에 대해서는 신뢰도가 비교적 낮기 때문이다. 3단계 ; 권한 확대 권한 확대에는 피해자 환경 내에 있는 더 많은 자원에 접근하기 위해 필요한 아이템을 획득하는 것이 포함됩니다. 권한 확대는 주로 사용자 이름과 패스워드를 입수하는 것으로 구성되는 경우가 가장 많으 나, PKI 인증, VPN 클라이언트 소프트웨어, 권한이 있는 컴퓨터, 또는 관심이 있는 데이터나 시스템에 연결하기 위해 필요한 다른 자원들에 접근하는 것이 포함될 수도 있다. 4단계 ; 내부 정찰 내부 정찰은 침입자가 피해자 환경에 대한 정보를 수집합니다. APT 공격자들은 내장된 운영체제 명 령어를 사용하여 내부 네트워크에 대한 정보(컴퓨터, 신뢰 관계, 사용자, 그룹 포함)를 입수하며 관심 이 있는 데이터를 식별하기 위해서는 디렉토리 또는 네트워크 공유 리스트를 작성하거나, 파일 확장 자, 핵심어 또는 마지막으로 변경된 날짜를 사용하여 데이터를 검색할 수 있다. 5단계 ; 내부 이동 대부분의 경우, 침입자들이 초기에 침해하는 시스템에는 그들이 원하는 데이터가 들어 있지 않는 경 우가 많다. 따라서, 네트워크 내에서 그 데이터가 들어 있거나 침입자에게 접근을 허용하는 다른 컴퓨 터로 이동하는 것을 말한다

6단계 ; 연결 유지 이 단계에서는, 침입자들이 네트워크 외부에서 네트워크 환경에 설치된 주요 시스템들에 대한 지속 적인 제어를 확보하기 위해 조치를 취하는 것으로 종종 침투 환경과 다른 활동을 위해서 새로운 백 도 어를 설치하고 다수의 컴퓨터에 다른 악성 코드 군을 설치하고, 다양한 명령 및 제어 주소를 사용한다. 7단계 : 임무 완수 APT 침투의 주요 목표는 지적 재산, 사업 계약 또는 협상, 정책서 또는 내부 메모와 같은 데이터를 훔치는 것이다. APT 그룹이 침해된 시스템에서 관심이 있는 파일을 찾으면 종종 그 파일을 훔치기 전 에 아카이브(참고용으로 생성한 데이터 사본) 파일로 포장한다. 또한 데이터를 외부에서 쉽게 볼 수 없 도록 한다. 그들은 이러한 작업을 하기 위해 소련의 프로그래머 유진 로살이 개발한 압축파일 포맷인 RAR(Rashal Archive) 아카이브 유틸리티를 가장 많이 사용하지만, 공개적으로 제공되는 다른 압축 유틸리티(ZIP)를 사용할 수도 있다. APT 침입자는 데이터를 압축할 뿐만 아니라, 아카이브를 패스워 드로 보호하며 아카이브로부터 다양한 방법(FTP, 맞춤형 파일 전송 툴 또는 기존의 백 도어 포함)을 사 용하여 파일들을 네트워크 외부로 전송한다. 중국의 군부대는 부대의 익명성 보장하고 통신과 작전의 간편성을 유지하기위해 표준화 된 5가지 참조 번호를 부여하여 사용하고 있다. 이 같은 군부대 위장 명칭은 특정한 부대를 언급하기 위해 공식 간행물 이나 인터넷에 사용된다. 맨디언트 보안회사가 파악한 것은 인민해방군(PLA)은 중국공산당 중앙군사위 원회에 직속되어 있으며 61398부대는 인민해방군 총참모부(GSD)에 소속되어 있다. 즉 61398부대가 수 행하는 임무인 기업 사이버 스파이 활동은 중국공산당 고위층의 지시에 의해 수행된다는 것을 의미한다. 사이버공간 전투를 수행하기 위해서는 전문지식의 인력이 필요하다. 61398 부대가 부여받은 임무 를 수행하기 위한 부대원 자격요건을 확인해 보니 참으로 놀라웠다. 대부분 부대원능력은 가장 기본인 유, 무선 비밀통신 지식으로부터 영어로 정보를 정확하게 이해하고 습득해야 하므로 영어능력이 탁월 해야 하며 컴퓨터 네트워크 전쟁을 위해 컴퓨터 및 네트워크, 디지털 신호처리, 네트워크보안 전문 지 식 인력으로 충원되어 운영하고 있다는 것이다. 우리나라는 IT강국이라 한다. 그러나 북한의 해킹공격에 대해 대응책이 미흡한 것은 전문 인력이 부 족하기 때문이다. 중국의 61398부대가 사이버전을 대비하여 10년 전부터 임무수행에 필요한 인력을 확보하기 위한 노력과정은 우리에게 사이버전 준비방향을 제시해 주고 있다. 장비와 시스템은 돈을 주 고 당장 살 수 있다. 그러나 전문 인력은 하루아침에 확보할 수 없다. 따라서 이 같은 부족한 전문인력 문제를 해결하기 위해서는 국가차원의 정책적 뒷받침과 투자가 필요하다. 즉 교육부, 과학기술부, 산 업 자원부, 국방부가 미래 전문인력 확보가 초등학교부터 체계적으로 이루어 질 수 있도록 머리를 맞 대고 전문 IT인력 확보에 총력을 기우려야할 시기라고 생각된다


이름 패스워드
비밀글 (체크하면 글쓴이만 내용을 확인할 수 있습니다.)
왼쪽의 글자를 입력하세요.
 

 

본사 : 서울시 종로구 사직로 96파크뷰타워 208호 (사)21c안보전략연구원

인터넷신문등록번호 : 서울아 02284 / 발행인 : 박정하

정기간행물등록번호 :서울라10600 / 대표전화 : 02-6953-0031, 02-2278-5846
팩스 : 02-6953-0042, 02-784-2186 / 청소년보호책임자 : 박정하

군사저널소개 | 이용약관 | 개인정보취급방침 | 이메일무단수집거부 | 새소식

Copyright ⓒ군사저널. All rights reserved.