Trace Id is missing

최전방 이야기: 중국 위협 행위자의 전술과 기술 파악하기

Microsoft 위협 인텔리전스 전략 디렉터 Sherrod DeGrippo 헤드샷

이 흥미진진한 인터뷰에서는 경력 19년 이상의 베테랑 위협 인텔리전스 전문가 Sherrod DeGrippo가 사이버 스파이 활동의 세계를 심층적으로 다룹니다. 중국발 사이버 위협의 복잡한 그물망을 풀어내는 일에 몰두하고 있는 강력한 두 전문가 Judy Ng, Sarah Jones와 함께 최신 사이버 위협 환경에서 이루어지는 은밀한 활동을 집중 조명합니다. 세 사람은 상호 연결된 우리의 세계를 보호하는 전문가들이 마주하게 된 난관을 이야기합니다. 중국 사이버 전장의 숨겨진 영역을 누비는 디지털 탐정들의 알려지지 않은 이야기와 특별한 전문 지식에 푹 빠져보세요.

Sarah Jones

저는 선임 위협 분석가로서 중국에서 발원하며 중국 정부를 위해 활동하는 APT(지능형 지속 위협) 그룹을 연구하고 있습니다. 시간이 지남에 따라 발달하는 해당 그룹의 맬웨어를 추적하며 그들의 인프라 구축 및 피해자 네트워크 손상 방식을 연구합니다. Microsoft 위협 인텔리전스 팀에 들어오기 전에도 주로 중국에 집중했지만, 이란과 러시아 그룹도 연구한 바 있습니다.

저는 특히 커리어 초반을 포함하여 전반적으로 보안 운영 센터에서 근무하며 정부 및 기업 네트워크 내부 보안에 중점을 두고 일해왔습니다.

중국 위협 행위 그룹을 연구할 때 가장 좋은 점 가운데 하나는 아주 오랜 기간을 두고 추적할 수 있다는 것입니다. 10년 전 모습부터 기억할 수 있는 그룹을 연구하며 시간이 지남에 따라 진화하는 모습을 지켜보는 일을 상당히 흥미롭습니다.

Judy Ng

저도 Sarah와 마찬가지로 위협 분석가로서 사이버 위협 분석뿐 아니라 지정학적 분석을 활용하고 있습니다. 지난 15년의 커리어에서 저는 미국 정부 지원 직책, 스타트업 직책, 미국 기업 내의 다양한 직책, 또 물론 2020년부터 근무한 Microsoft를 포함하는 다양한 관점에서 중국 기반의 위협 행위자를 추적해왔습니다.

중국에 중점을 두고 일하기 시작한 것은 늘 중국에 관심이 있었기 때문입니다. 커리어 초반에 저는 이런 관심 덕분에 중국어나 중국 문화의 뉘앙스를 일부 이해하지 못하는 동료들에게 배경 지식을 공유할 수 있었습니다.

처음 받은 질문 중 하나는 "주디, '육용 닭(肉鸡, meat chicken)'이 뭐죠? 중국어로 '육용 닭'에 다른 뜻이 있나요?"였어요.

정답은 '봇네트'였습니다. '육용 닭'은 위협 행위자가 온라인 게시판에서 사용하는 중국 속어로 좀비 봇네트를 의미합니다.

Judy Ng

이 분야에서는 매일 같은 일을 하지 않습니다. 그래서 아주 즐겁습니다. Microsoft가 얻는 강력한 신호를 모두 활용하여 데이터가 이끄는 대로 따르면 됩니다.

이곳의 데이터 세트는 절대 지루해질 수 없습니다. "헌팅할 게 없네"라고 말할 일이 없습니다. 늘 흥미로운 것이 있는 데다 중국 팀원 대부분은 호기심이 많습니다.

단독으로 헌팅을 진행하든 그룹으로 함께 대상을 살펴보든, 호기심 많은 사람들이 모여 다양한 길을 찾아갈 수 있다는 점이 정말 좋습니다.

Sarah Jones

Judy의 말에 공감합니다. 날마다 새롭고 다른 문제를 마주합니다. 날마다 새로운 기술을 알게 되고 행위자가 악용하려 하는 새로운 소프트웨어를 알게 됩니다. 들어본 적 없는 기술이나 소프트웨어 프로그램이라면 돌아가서 문서를 읽어봐야 합니다. 때로는 RFC(의견 요청 문서)에서 프로토콜 부분을 읽어봐야 하는데요, 위협 행위자가 프로토콜의 특정 부분을 조작하거나 악용하고 있어 원본 문서로 돌아가 확인하는 경우입니다.

저에게는 아주 흥미진진한 이런 일을 매일 할 수 있습니다. 매일 처음 들어보는 인터넷의 새로운 측면을 배워 위협 행위자를 따라잡기 위해 그들과 경쟁하면서, 위협 행위자가 악용하려 하는 것에 대한 전문가가 될 수 있습니다.

Sarah Jones

코로나19로 인해 많은 변화가 있었습니다. 고객들의 세상이 바뀌었습니다. 하루아침에 모든 사람이 집으로 돌아가 업무를 계속 수행하기 위해 애썼습니다. 많은 기업이 네트워크를 완전히 재구성해야 했고 직원들은 업무 방식을 바꿔야 했으며, 당연히 위협 행위자들은 이런 상황에 반응하였습니다.

예를 들어 재택근무 정책이 처음 시행되었을 때 많은 조직은 일반적으로 사무실 외부에서 액세스할 수 없던 아주 중요한 시스템과 리소스를 여러 위치에서 액세스할 수 있도록 설정해야 했습니다. 그러자 위협 행위자는 이런 혼잡함 속에서 원격 근무자로 위장하여 중요 리소스에 액세스를 시도하기 시작했습니다.

처음 코로나19 사태가 발생했을 때는 기업 환경에 액세스 정책을 신속하게 수립해야 했고, 때로는 모범 사례를 연구하고 검토할 시간도 없이 정책 수립이 이루어지기도 했습니다. 많은 조직이 첫 시행 이후로 이러한 액세스 정책을 재검토하지 않았기 때문에 오늘날 위협 행위자들은 잘못된 구성과 취약점을 발견하고 악용하려고 시도하고 있습니다.

이제 데스크톱에 맬웨어를 설치하는 일은 위협 행위자들에게 가치가 없습니다. 원격 근무자와 같은 방식으로 중요 시스템에 액세스할 수 있는 암호와 토큰을 확보하는 것이 중요해졌습니다.

Judy Ng

위협 행위자가 재택근무를 했는지는 알 수 없지만 코로나19 셧다운이 거주 도시에서의 활동에 미친 영향에 관하여 인사이트를 주는 데이터가 존재합니다. 위협 행위자가 어디서 근무했든, 다른 모든 사람과 마찬가지로 그들의 삶도 영향을 받았습니다.

때로는 그들의 컴퓨터에서 활동이 줄어든 것을 통해 도시 전체 셧다운의 영향을 확인할 수 있었습니다. 지역 전체에 시행된 셧다운의 영향을 데이터에서 확인하는 것은 흥미로운 일이었습니다.

Judy Ng

Microsoft가 추적하고 있는 Nylon Typhoon이 아주 좋은 예입니다. Microsoft는 2021년 12월에 이 그룹에 조치를 취하여 유럽, 라틴 아메리카, 중앙 아메리카를 표적으로 활동하는 데 사용된 인프라를 중단시켰습니다.

Microsoft의 평가에 따르면 일부 피해자 활동에는 중국 정부가 운영하는 전 세계 인프라 사업을 위한 BRI(일대일로 이니셔티브)에 관련된 파트너에 대한 인사이트 제공용 인텔리전스 수집 작업이 포함되었을 가능성이 높습니다. Microsoft는 중국의 국가적 지원을 받는 위협 행위자들이 전통적 스파이 활동과 경제 스파이 활동을 전개한다는 사실은 알고 있으며, 해당 그룹의 활동은 두 가지 모두일 가능성이 높다고 평가합니다.

결정적 증거가 없기 때문에 100% 확신할 수는 없습니다. 15년의 경험에 따르면 결정적인 증거를 잡는 것은 매우 어려운 일입니다. 하지만 정보를 분석하고 맥락을 파악하여 "이 정도의 신뢰도로 이러한 이유일 가능성이 있다고 평가합니다"라고 말할 수는 있습니다.

Sarah Jones

가장 뚜렷한 추세 가운데 하나는 사용자 엔드포인트 및 맞춤형 맬웨어에서 초점을 전환하여 더 끝으로 이동한 행위자입니다. 이들은 에지 디바이스를 악용하는 데 리소스를 집중하며 지속성을 유지하고 있습니다. 이러한 디바이스는 일단 액세스 권한을 얻고 나면 그곳에 장기간 상주할 수 있다는 점에서 흥미롭습니다.

일부 그룹은 이러한 디바이스를 놀라울 정도로 철저히 분석했습니다. 위협 행위자들은 펌웨어 작동 방식을 알고 있습니다. 디바이스의 취약점을 파악했으며 많은 디바이스가 바이러스 백신 프로그램이나 세분화된 로깅을 지원하지 않는다는 것도 압니다.

이제 VPN과 같은 디바이스가 왕국의 열쇠라는 사실도 당연히 알고 있습니다. 조직들이 토큰, MFA(다단계 인증), 액세스 정책 등의 보안 계층을 추가함에 따라 위협 행위자들도 더욱 교묘하게 방어 조치를 우회하고 빠져나가는 방법을 마련하고 있습니다.

이미 많은 위협 행위자들은 VPN과 같은 디바이스를 통해 장기간 지속성을 유지할 수만 있다면 맬웨어를 배포할 필요가 없다는 사실을 깨달았다고 봅니다. 일반 사용자처럼 로그인할 수 있는 액세스 권한을 부여받을 수 있기 때문입니다.

행위자들은 이처럼 에지 디바이스에 침투하여 네트워크에서 마치 신처럼 활동할 수 있는 권한을 부여받습니다.

또 다른 추세는 위협 행위자가 Shodan, FOFA처럼 인터넷을 스캔하고 디바이스를 분류하며 다양한 패치 수준을 파악하는 모든 종류의 데이터베이스를 이용하고 있다는 것입니다.

이들은 또한 악용 가능한 대상을 찾기 위해 자체적으로 인터넷을 광범위하게 스캔하거나 때로는 기존 표적 목록에서 스캔을 수행합니다. 대상을 발견하면 실제로 디바이스를 악용하기 위해 다시 스캔한 후, 나중에 다시 돌아와 네트워크에 액세스합니다.

Sarah Jones

둘 다입니다. 행위자에 따라 다릅니다. 일부 행위자는 특정 국가를 담당합니다. 이들은 표적인 해당 국가 내의 디바이스에만 관심을 둡니다. 다른 행위자는 기능에 따른 표적을 담당하여 금융, 에너지, 제조와 같은 특정 부문에 초점을 맞춥니다. 이들은 수년에 걸쳐 관심 기업을 모은 표적 목록을 구축하여, 표적이 어떤 디바이스와 소프트웨어를 실행하고 있는지 정확히 알고 있습니다. 그래서 일부 행위자는 미리 정의된 표적 목록을 스캔하여 표적이 특정 취약점에 대해 패치를 적용했는지 확인합니다.

Judy Ng

행위자는 표적이 매우 분명하고 체계적이며 정확할 수 있지만 때로는 그저 운이 좋을 수도 있습니다. 그들도 사람이라는 사실을 기억해야 합니다. 행위자는 상용 제품을 이용해 스캔하거나 데이터를 수집하다가 운이 좋아서 처음부터 올바른 정보 세트를 얻어 작업을 시작하는 데 도움이 되는 경우도 있습니다.

Sarah Jones

그렇습니다. 하지만 올바른 보안은 단순히 패치를 적용하는 것 이상입니다. 가장 효과적인 솔루션은 간단해 보이지만 실제로 수행하기는 매우 어렵습니다. 조직은 인터넷에 노출된 디바이스를 파악하고 인벤토리를 만들어야 합니다. 네트워크 경계를 반드시 파악해야 하는데, 이는 클라우드와 온-프레미스 디바이스를 모두 사용하는 하이브리드 환경에서 특히 어렵습니다.

디바이스 관리는 쉬운 일이 아니므로 간단한 일처럼 말하지는 않겠습니다. 그러나 조직 네트워크 상의 디바이스와 각 디바이스의 패치 수준을 파악하는 것이 가장 먼저 해야 할 일입니다.

보유한 디바이스를 파악한 후에는 해당 디바이스의 로깅 기능과 원격 분석 기능을 강화할 수 있습니다. 로그 세분화를 위해 노력하시기 바랍니다. 이러한 디바이스는 방어하기 어렵습니다. 네트워크를 방어를 위해 이러한 디바이스를 방어하는 최선의 방법은 로깅을 통해 변칙을 찾는 것입니다.

Judy Ng

중국 정부의 계획을 훤히 들여다볼 수 있다면 좋겠습니다. 안타깝게도 그럴 수는 없습니다. 하지만 정보에 액세스하려는 욕구는 지금도 알 수 있습니다.

모든 국가에는 그런 욕구가 있습니다.

저희도 정보를 좋아합니다. 저희의 데이터를 좋아합니다.

Sarah Jones

Judy는 Microsoft의 BRI(일대일로 이니셔티브) 및 지정학 전문가입니다. 저희는 특히 표적 설정과 관련한 추세를 살필 때 Judy의 인사이트에 의존합니다. 때로는 새로운 표적이 파악되는데, 앞뒤가 너무 안 맞을 때가 있습니다. 지난 행적과 너무 맞지 않는 경우 Judy에게 문의하면 "현재 이 국가에서 중요한 경제 회담이 열리고 있습니다"라거나 "이 지역에서 새 공장 건설을 위한 협상이 진행 중입니다"라고 답변해줍니다.

Judy는 위협 행위자의 특정 행동과 관련하여 아주 귀중하고 근본적인 맥락을 알려줍니다. 누구나 Bing Translate을 사용할 수 있고 뉴스 기사를 찾아볼 수 있습니다. 하지만 뭔가 앞뒤가 안 맞을 때는 Judy가 "그 번역은 실제로 이런 의미입니다"라고 알려주고, 이로 인해 해석이 완전히 달라질 수 있습니다.

중국 위협 행위자를 추적하기 위해서는 중국의 정부 구조나 기업 및 기관의 운영 방식 등에 관한 문화적 지식이 필요합니다. Judy의 연구는 이러한 조직의 구조를 파악하도록 도와주며 조직이 어떻게 기능하는지, 즉 어떻게 돈을 벌고 어떻게 중국 정부와 상호 작용하는지를 알려줍니다.

Judy Ng

Sarah가 말한 바와 같이, 소통입니다. 팀원들은 항상 Teams 채팅을 사용합니다. 저희는 항상 원격 분석에서 발견한 인사이트로서 가능한 결론으로 나아가는 데 도움이 된 정보를 공유합니다.

Judy Ng

제 비결이요? 인터넷과 독서에 많은 시간을 할애하는 것입니다. 가장 중요한 것 중 하나는 다양한 검색 엔진의 사용 방법을 아는 것이라고 생각합니다.

저는 Bing뿐 아니라 Baidu와 Yandex에도 익숙합니다.

검색 엔진마다 다른 결과가 나오기 때문입니다. 제가 특별한 작업을 하는 건 아니지만, 다양한 출처에서 다양한 결과를 찾아 거기에서 데이터를 분석합니다.

팀원들 모두 박식합니다. 각자 확실한 강점이 있기에 누구에게 물어볼지만 알면 됩니다. 게다가 모두 서로에게 편하게 질문할 수 있는 환경이니 정말 좋지 않습니까? 저희 팀에서는 늘 바보 같은 질문이란 없다는 말을 합니다.

Sarah Jones

사실 이곳에서는 바보같은 질문이 동력이 됩니다.

Sarah Jones

지금이야말로 IT 보안에 입문하기에 가장 좋은 시기입니다. 제가 시작할 때는 관련 수업이나 자료를 비롯해 이 분야를 탐색할 방법이 별로 없었습니다. 지금은 학부와 대학원 과정까지 있죠! 그 외에도 입문할 길이 다양해졌습니다. 물론 비용이 많이 드는 길도 있지만, 비용이 적거나 아예 들지 않는 길도 있습니다.

Microsoft 위협 인텔리전스 동료인  Simeon Kakpovi 와 Greg Schloemer도 무료 보안 교육 리소스를 개발했습니다.  KC7이라는 도구를 사용하면 누구나 쉽게 IT 보안 분야에 입문하고 네트워크 및 호스트 이벤트를 이해하며 행위자 헌팅에 관해 배울 수 있습니다.

이제는 온갖 종류의 다양한 주제와 관련하여 직접 실습해볼 수가 있습니다. 제가 시작할 때는 예산 수백만 달러 규모의 회사에서 일해야만 관련 도구를 사용해볼 수 있었습니다. 많은 사람에게 진입 장벽이 있었던 것입니다. 그러나 이제는 누구나 맬웨어 샘플을 분석해볼 수 있습니다. 과거에는 맬웨어 샘플과 패킷 캡처를 찾기가 어려웠습니다. 하지만 이러한 장벽은 무너지고 있습니다. 오늘날에는 자기 속도에 맞춰 스스로 학습할 수 있는 무료 온라인 도구와 리소스가 매우 많습니다.

관심이 가는 틈새 시장을 공략하시라고 조언하고 싶습니다. 맬웨어 연구에 관심이 있습니까? 디지털 포렌식입니까? 위협 인텔리전스입니까? 가장 좋아하는 주제에 집중하고 공개 리소스를 활용하여 최대한 많은 것을 배우시기 바랍니다.

Judy Ng

가장 중요한 건 호기심이겠지요? 호기심과 함께 다른 사람들과 협력도 잘해야 합니다. 사이버 보안은 혼자 할 수 없는 팀 작업이라는 점을 명심해야 합니다.

팀으로 일하는 능력이 중요합니다. 호기심과 배움에 열려 있는 자세가 중요합니다. 다른 사람에게 묻고 팀원과 협력할 방법을 찾는 일에 익숙해야 합니다.

Sarah Jones

그렇습니다, 정말 사실입니다. 저는 Microsoft 위협 인텔리전스 팀이 Microsoft의 다양한 파트너 팀과 협력하고 있다는 점을 강조하고 싶습니다. 위협 행위자가 어떤 행위를 하고 있으며 그 이유가 무엇인지 파악함에 있어 저희는 동료들의 전문성에 크게 의존하며 도움을 받고 있습니다. 동료들 없이는 저희 업무도 불가능합니다.

관련 기사

Volt Typhoon, LOTL 기술로 미국의 중요 인프라를 표적 삼다

중국 정부가 후원하는 위협 행위자인 Volt Typhoon이 미국의 중요 인프라를 표적 삼아 은밀한 기술로 스파이 활동을 하며 손상된 환경에 상주하는 것으로 관찰되었습니다.

지정학적 맥락에 사이버 위협 인텔리전스 적용

위협 인텔리전스 전문가인 Fanta Orr가 위협 인텔리전스 분석을 사용하여 사이버 위협 활동의 '이유'를 밝히고 취약한 표적일 수 있는 고객을 더욱 잘 보호하는 방법을 설명합니다.

기본적인 사이버 위생 조치로 공격의 98% 예방하기

기본적인 사이버 위생은 전체 사이버 위협의 98%로부터 조직의 ID, 디바이스, 데이터, 앱, 인프라, 네트워크를 보호하는 가장 좋은 방법입니다. 종합 가이드에서 실용적인 팁을 살펴보세요.

Microsoft Security 팔로우