맨디언트(Mandiant)가 지난해 글로벌 네트워크 솔루션 전문 기업인 주니퍼네트웍스(Juniper Networks)에서 발생한 멀웨어(malware) 사고에 대한 조사 결과를 발표했다. 이번 공격은 중국 연계 사이버 스파이 그룹 UNC3886이 수행한 것으로 밝혀졌으며, 이들은 주노스 운영체제(Junos OS)를 실행하는 주니퍼 라우터를 타깃으로 맞춤형 백도어(backdoor)를 유포한 것으로 확인됐다.

◆UNC3886, 주니퍼 라우터 대상 제로데이 공격 수행

2024년 중순경 맨디언트는 UNC3886이 주니퍼 라우터에서 정교한 악성코드를 활용한 공격을 감행한 것을 발견했다. UNC3886은 제로데이 익스플로잇(zero-day exploit)을 이용해 네트워크 장치 및 가상화 기술을 공격하며, 주로 미국과 아시아 지역의 국방, 기술 및 통신 기업을 표적으로 삼고 있다.

지난 수개월 동안 맨디언트와 주니퍼네트웍스가 합동 조사를 진행한 결과, UNC3886이 지원 종료(EOL)된 주니퍼 MX 라우터의 하드웨어 및 소프트웨어를 통해 공격을 수행한 사실이 밝혀졌다. 맨디언트 연구진은 "UNC3886이 사용한 맞춤형 멀웨어 샘플은 그들이 고급 시스템 내부 구조에 대해 심층적인 지식을 가지고 있음을 보여준다"고 분석했다. 이들은 2022년과 2023년에도 유사한 방식으로 가상화 기술 및 네트워크 엣지 디바이스를 공격한 사례가 있었다.

◆UNC3886의 주요 공격 기법 및 분석

맨디언트는 이번 공격에서 UNC3886이 다수의 주니퍼 MX 라우터에 설치된 6가지 변종 멀웨어를 활용한 것을 확인했다. 해당 멀웨어들은 TINYSHELL 백도어를 변형한 버전으로, 오랜 기간 탐지를 회피하며 장치에 접근할 수 있도록 설계됐다. 이들 악성코드는 능동적(active) 및 수동적(passive) 백도어 기능을 제공하며, 표적 장비의 로깅 메커니즘(logging mechanism)을 비활성화하는 임베디드 스크립트를 포함하고 있었다.

◆Veriexec 우회 및 프로세스 인젝션 기법

Junos OS는 Veriexec이라는 보안 메커니즘을 통해 무단 코드 실행을 방지하지만, UNC3886은 이를 우회하는 기법을 사용했다. 맨디언트는 Veriexec이 지원되는 하드웨어 및 소프트웨어에서 UNC3886의 우회 기법이 성공했다는 증거를 발견하지 못했으나, 지원 종료된 주니퍼 MX 라우터가 감염된 사실을 통해 UNC3886이 실행 가능한 백도어를 성공적으로 배포했음을 확인했다.

특히, UNC3886은 프로세스 인젝션(process injection) 기술을 활용하여 합법적인 프로세스의 메모리에 악성 코드를 주입함으로써 Veriexec 보호를 우회했다. 이는 Veriexec이 활성화된 상태에서도 위치 독립 코드(PIC) 버전의 lmpad 백도어를 실행할 수 있도록 하는 기법으로, 기존 파일 시스템 기반 감염보다 탐지가 더욱 어렵다.

◆UNC3886의 목표 및 네트워크 장치 보안의 중요성

과거 UNC3886은 네트워크 엣지 디바이스(network edge device)를 주요 표적으로 삼았으나, 이번 공격을 통해 인터넷 서비스 제공업체(ISP) 라우터와 같은 내부 네트워킹 인프라도 대상으로 삼고 있음이 밝혀졌다. 이와 같은 공격이 성공할 경우 네트워크 전반에 걸쳐 장기적인 보안 위협을 초래할 수 있다.

이번 사건은 네트워크 장비의 지속적인 보안 업데이트 및 패치의 중요성을 다시금 강조하고 있다. 맨디언트와 주니퍼네트웍스는 고객들이 네트워크 장비를 최신 보안 패치가 적용된 상태로 유지해야 하며, 특히 주니퍼네트웍스가 제공하는 보안 권장사항을 철저히 준수할 것을 당부했다.

◆맨디언트의 보안 권고사항

맨디언트는 이번 공격에 대응하기 위해 다음과 같은 보안 조치를 권장했다:

-안전한 인증: 네트워크 장비 관리를 위해 다중 인증(MFA) 및 세분화된 역할 기반 접근 제어(RBAC)를 적용하고, 중앙 집중식 ID 및 접근 관리(IAM) 시스템을 구축할 것.

-구성 관리: 네트워크 구성 유효성을 검증하고, 자동화된 수정 및 경고 시스템을 도입하여 보안 정책 위반을 감지할 것.

-모니터링 강화: 고위험 관리 활동을 감시하고 탐지 프로세스를 지속적으로 개선할 것.

-취약점 관리: 네트워크 장치의 알려진 취약점을 신속히 패치하고 보안 완화 조치를 적용할 것.

-디바이스 수명 주기 관리: 지원 종료(EOL) 장비의 교체 및 소프트웨어 업데이트 계획을 철저히 수립할 것.

-보안 강화: 네트워크 세분화 및 접근 제어를 통해 장비와 네트워크 간의 보안 수준을 높일 것.

-위협 인텔리전스 활용: 지속적으로 새로운 위협에 대한 정보를 수집하고 보안 제어의 효과를 평가 및 개선할 것.

UNC3886의 이번 공격은 네트워크 장치를 타깃으로 한 사이버 스파이 활동이 더욱 정교해지고 있음을 시사하며, 보안 업계의 적극적인 대응이 필요한 시점이다. 맨디언트는 향후에도 UNC3886의 활동을 면밀히 추적하고 관련 보안 인텔리전스를 지속적으로 업데이트할 방침이다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★