Breaking
사이버 보안(Cybersecurity)
中 후원 추정 해커 그룹, 국제민간항공기구 해킹해…기구는 '모르쇠' 일관?
2019-05-03 17:53:09
장희주
▲ICAO가 2016년 해킹 사건 이후로 지속적으로 해킹 공격을 은폐한 것으로 드러났다(사진=ⓒ위키미디어 커먼즈)

[라이헨바흐=장희주 기자] 중국이 후원하는 것으로 의심되는 해커 단체가 '국제민간항공기구(ICAO)'를 해킹하고 ICAO는 이를 은폐한 정황이 드러나 충격을 안겨주고 있다.

캐나다 몬트리올에 소재한 유엔(UN) 산하 기구 ICAO가 지난 2016년 말에 발생했던 데이터 유출 사건 이후에도 지속적으로 해킹 사건을 은폐했다는 보도가 나왔다. 

한 전문 매체에 따르면, 이러한 은폐가 실시간으로 관련 상황을 겪었던 ICAO 분석가들의 무능력을 숨기려는 조치였겠지만, 동시에 대중들에게도 위험을 안겨줬다. 매체는 이어 이는 ICAO의 역사에서 가장 심각한 사이버 공격이라고 비판했다. 

CBC 방송은 관련 문서를 입수, ICAO의 해킹 배후로 중국 정부가 지원하는 해커 그룹인 '에미세리 팬더'를 지목했다.

ICAO의 과실 및 태만

CBC에 따르면 내부 문서를 통해 그동안 ICAO가 해킹을 얼마나 과소평가하고 부주의하게 다뤄왔는지를 극명하게 알 수 있다. 기관은 필요한 조처를 하는 것을 연기했을 뿐 아니라 관련 조사까지 방해했다. 

대중에게 통보하는 것 역시 장기간 게을리했다. CBS는 이러한 모든 행위는 직원들이 보안 실패를 숨기려 한 단순한 수단이 됐다고 밝혔다.

오히려 해킹에 관한 경보를 먼저 알려온 건 미국의 방위사업체이자 항공기 제작업체인 록히드마틴이었다. 록히드마틴은 ICAO에 이메일을 보내, 자사의 서버가 캐나다 정부와 미국 정부, 그리고 항공 산업 컴퓨터 네트워크에까지 멀웨어를 심으려는 해킹 공격을 받았다고 전했다. 

당시 록히트마틴의 사이버정보 분석가는 "이메일에서 해킹을 '항공 산업에 심각한 위협'이라고 강조하며, 해당 해킹이 '워터링 홀' 공격의 특징을 지닌다"고 밝혔다. 

문서에 따르면, 당시 ICAO의 IT팀은 유엔과 계약한 사이버 보안 기업에 연락을 취했고, 해당 기업은 ICAO에 해킹 공격에 대한 평가를 진행하겠다고 말했지만, ICAO는 이를 거부했다. 

실제로는 해당 이메일에 응답조차 하지 않은 것으로 나타났다. 다시 2주가 흐른 뒤 해킹의 실제 범위와 공격이 사실상 얼마나 해로운지를 증명하는 분석 결과가 도출됐지만, 지난 2017년까지 이와 관련한 독립 조사는 취해지지 않았다.

더 중요한 것은 해당 분석 결과가 해킹이 멀웨어에 기반한 것으로 밝혀졌지만, 이와 동시에 ICAO 백신 프로그램이 실제로 시스템이 감염되기 전인 2016년 멀웨이를 확인했던 사실도 밝혀졌다.

에미세리 팬더

다른 주 정부가 후원하는 해커 그룹과 마찬가지로 에미세리 팬더는 ▲브론즈 유니온 ▲ATP27 ▲TG-3390과 같은 여러 이름으로 불리고 있다. 

이는 러시아 해커 그룹인 '팬시 베어'가 ▲APT28 ▲소파시 그룹 ▲세드닛으로도 불리는 경우와 마찬가지다. 이와 관련해 사이버 보안 기업인 시큐어웍스는 에미세리 팬더는 특히 중국 정부가 후원하고 있거나 혹은 산하에 소속돼 있을 가능성이 가장 크다고 분석했다. 

시큐어웍스는 지난 2015년 몇 가지 요소를 토대로 이 해킹 그룹에 대한 몇 가지 주요 사안을 보고한 바 있다. 보고서에 요약된 주요 요인 가운데 일부로는, 이 그룹이 중국 내 주요 업무 시간인 정오와 오후 5시에 주로 서비스한다는 사실이다. 

또한, 에미서리 팬더가 만다린을 기반으로 한 검색 엔진 바이두에 의존하고 있으며, 중국어로 작성된 코드를 사용한다고 전했다. 또 다른 주요 특징으로는 이 그룹이 중국의 소수 이슬람 민족인 위구르족을 표적으로 삼고 있다는 것이다. 

시큐어웍스는 해킹 그룹이 최소 10년 동안 활동해 왔으며, 그동안 아프리카 및 북극을 제외한 거의 모든 지역에 표적을 둔 사이버 공격을 자행해 온 것으로 추정했다.

▲ICAO를 공격한 해킹 그룹은 에미세리 팬더로, 중국 정부 산하 소속이거나 후원을 받는 단체로 추정된다.

워터링 홀 공격

워터링 홀 공격에 대한 위험성은 이미 전문가들이 언급해 왔다. 실제로 영국의 보안 소프트웨어 및 하드웨어 기업은 소포스의 보안 담당자 존 쉬어는 "지난해 해커나 해킹 그룹이 워터링 홀 공격으로 대규모 네트워크를 침투할 가능성이 높아졌다"고 설명했다. 

그는 이어 "직원들이 자주 방문하는 포럼이나 웹사이트를 대상으로 하면 해커의 성공 가능성은 더 높아진다"고 덧붙였다.

존 쉬어는 이에 직원이 가정용 PC에서 사이트에 접근하는 것은 안전하지 못한 방법이라고 조언했다. 가정용 PC가 VPN을 사용해 기업 네트워크에 액세스하기 때문에, 해커는 해당 기업에 직통 라인을 갖게 된다고 설명한다. 

그는 결국 궁극적으로 피싱 공격은 이처럼 여러 가지 원인 중 하나로 나타나게 된다고 지적했다. 워터링 홀 공격은, 야생에서 포식자가 먹잇감을 기다릴 때 보통 물웅덩이에서 매복한 뒤 덮치면 그만큼 목표물을 잡을 확률이 높아진다는 의미에서 파생된 용어다.

이러한 측면에서 볼 때 메일 서버를 비롯한 시스템 관리자, 도메인 관리자는 모두 해커의 공격 대상이 된다. 

실제로 에미세리 팬더는 당시 이들의 해당 계정에서 2,000명 이상 직원들의 로그인 자격 증명에 접근할 수 있었다. 그리고 이는 해당 직원의 이메일에 대한 읽기/쓰기 권한도 가질 수 있도록 만들어줬다. 심지어 해커가 이메일을 삭제할 수도 있었다. 

CBC에 따르면 터키의 ICAO 계열 웹사이트는 해킹 유출이 진행된 지 30분 이내에 멀웨어에 감염됐다. 

당시 해커가 이미 네트워크 내 사이버 통신을 차단했기 때문에, 시스템에 감염되기 전 악성코드를 탐지하고 확인하는 ICAO 자체 바이러스 백신 프로그램 조치는 제대로 취해지지 못했다.

[라이헨바흐=장희주 기자]