중국 연구원들, CIA가 중국 타깃 해킹 캠페인 배후라고 주장

2020-03-04     장성협 기자

중국 Qihoo 360(치후 360)은 오늘 미국 중앙 정보국(CIA)이 여러 중국 산업 및 정부 기관을 타깃으로 하는 11년 간의 해킹 캠페인 배후에 있음을 주장하는 새로운 보고서를 발표하였다. 대상 산업 분야에는 항공 조직, 과학 연구 기관, 석유 및 인터넷 회사 등이 포함된다.

중국 연구원들은 이 사이버 공격들은 2008년 9월부터 2019년 6월 사이에 수행되었고 대부분 타깃은 베이징, 광동, 저장 지역에 위치하고 있다고 말한다. 그들은 “우리는 지난 11년간의 침입 공격을 분석했고 CIA가 이미 중국의 많은 기밀 사업, 심지어는 전 세계 다른 많은 국가들의 정보도 파악해왔을 것이라고 추측한다.”고 설명했다.

치후 360은 “CIA가 현재 실시간으로 전 세계 항공편 상태, 승객 정보, 무역 화물 및 기타 관련 정보를 추적할 수 있는 가능성을 배제할 수 없다.”고 주장한다. 이들의 주장은 중국 산업에 대해 해킹 그룹 APT-C-39이 사용하는 툴, 전술 및 절차 증거, CIA가 개발한 해킹 툴인 Vault 7를 근거로 한다.

Vault 7 해킹 툴의 컬렉션은 2017년 내부 고발자 웹 사이트인 위키리크스에 공개되었다. 전 CIA 직원 Joshua Adam Schulte이 해당 기밀 정보 유출에 대한 혐의를 받고 있다.

치후 360에 따르면 Fluxwire 및 Grasshopper와 같은 CIA가 개발한 해킹 툴은 Vault 7 유출 이전 몇 년 간 중국 타깃에 대한 APT-C-39 그룹의 공격에 사용되었다.

360은 “관련 샘플 코드, 행동 지문 및 기타 정보를 비교하여 해당 공격 그룹이 사용한 사이버 무기가 Vault 7 유출 정보에 설명된 사이버 무기임을 확인할 수 있었다. 분석에 따르면 대부분 샘플에 대한 제어 명령, 컴파일 PDB 경로, 암호화 체계 같은 기술 세부 사항이 Vault 7 문서의 세부 사항과 일치한다”고 설명했다. 이 외에도 연구원들은 포착된 샘플의 컴파일 시간이 미국 시간대와 일치함을 발견했다.

연구진은 “악성 프로그램의 컴파일 시간을 조사하여 개발자 작업 일정을 파악하였고 이를 통해 개발자가 있는 곳의 대략적 시간대를 알 수 있었다.”고 말했다. 또한 NSA에서 2011년에 중국 인터넷 회사를 상대로 하는 해킹 캠페인을 위해 개발한 WISTFULTOOL 공격 플러그인과 같은 몇가지 도구도 사용했다고 주장한다.

하지만 여러 해킹 캠페인이 Vault 7 유출을 기반으로 CIA에 연결된 것은 이번이 처음은 아니다. 치후 360이 독점적으로 중국 타깃을 추적하는 동안 카스퍼스키와 시만텍 연구원들은 Lamberts, Longhorn과 같은 CIA의 해킹 작전들을 추적하고 있다.

★정보보안 대표 미디어 데일리시큐!★