>
연구(Insikt)

기록된 미래 연구, 중국 국가안보부가 APT3의 배후에 있다고 결론 내림

게시일: 2017년 5월 17일
작성자: Insikt Group

insikt-group-logo-alt.png

연구자들이 높은 신뢰도를 가진 위협 행위자 그룹을 국가안보부에 귀속시킬 수 있었던 것은 이번이 처음입니다.

Key Takeaways

  • APT3는 중국 국가안전부(MSS)가 직접 높은 신뢰도를 가지고 배후로 지목한 최초의 위협 행위자 그룹입니다.

  • 5월 9일, 중국 광저우에 위치한 광저우 보유 정보 기술 회사라는 회사가 APT3의 배후로 지목된 '인트루전트루스'라는 정체불명의 그룹이 등장했습니다.

  • 레코디드 퓨처의 오픈 소스 연구 및 분석을 통해 보이유섹(Boyusec)으로 알려진 이 회사가 중국 국가안전부를 위해 일하고 있다는 사실이 확인되었습니다.

  • 고객은 APT3로 알려지거나 의심되는 모든 침입 활동과 관련 멀웨어 제품군의 모든 활동을 재검토하고 보안 제어 및 정책을 재평가해야 합니다.

소개

5월 9일, 스스로를 '인트루전트루스'라고 부르는 정체불명의 그룹은 중국 국가안전부(MSS)의 계약업체가 APT3 사이버 침입의 배후 그룹이라고 밝혔습니다.

chinese-mss-behind-apt3-1.png

APT3 피해자의 향후 타임라인을 기록했습니다.

chinese-mss-behind-apt3-2.png

"APT3의 침입 진실"의 블로그 게시물 스크린샷.

'인트루트루스'는 피르피(Pirpi)라는 APT3 툴이 사용하는 도메인과 광저우 보유 정보 기술 회사(일명 보유섹)라는 중국 정보 보안 회사의 주주 두 명 사이의 과거 연결 관계를 문서화했습니다.

chinese-mss-behind-apt3-3.png

멀웨어 Pirpi에 연결된 도메인에 대한 등록 정보입니다. 세부 정보에 따르면 도메인은 동하오와 보이유섹에 등록되어 있습니다.

APT3는 전통적으로 광범위한 기업과 기술을 표적으로 삼았으며, MSS를 대신하여 정보 수집 요구 사항을 충족할 가능성이 높습니다(아래 연구 참조). 레코디드 퓨처는 APT3를 면밀히 추적해 왔으며 이 그룹이 수행한 침입 활동의 책임이 MSS에 있음을 입증하는 추가 정보를 발견했습니다.

chinese-mss-behind-apt3-4.png

APT3에 대한 미래 인텔리전스 카드™ 기록.

배경

APT3(UPS, 고딕 팬더, TG-011이라고도 함)는 최소 2010년부터 활동해 온 정교한 위협 그룹입니다. APT3는 스피어피싱 공격, 제로데이 익스플로잇, 수많은 고유하고 공개적으로 사용 가능한 원격 액세스 도구(RAT) 등 광범위한 도구와 기법을 활용합니다. APT3 침입의 피해자는 방위, 통신, 운송 및 첨단 기술 분야의 기업뿐만 아니라 홍콩, 미국 및 기타 여러 국가의 정부 부처 및 기관을 포함합니다.

분석

보이유섹의 웹사이트에는 화웨이 테크놀로지스와 광동 정보 기술 보안 평가 센터(또는 광동 ITSEC)라는 두 기관과 협력하고 있다고 명시적으로 밝히고 있습니다.

chinese-mss-behind-apt3-5.png

화웨이와 광동 ITSEC이 협력 파트너로 명시된 보이유섹의 웹사이트 스크린샷
협력 파트너로 확인된 웹사이트 스크린샷.

2016년 11월, 워싱턴 프리 비컨은 국방부 내부 정보 보고서를 통해 보이유섹과 화웨이가 공동으로 생산하던 제품이 노출되었다고 보도했습니다. 미 국방부의 보고서에 따르면, 두 회사는 중국 정보기관이 "데이터를 수집하고 컴퓨터 및 통신 장비를 제어할 수 있는" 백도어가 포함된 보안 제품을 생산하기 위해 협력하고 있었습니다. 이 기사는 정부 관계자와 애널리스트의 말을 인용해 보이유섹과 중기부가 "밀접하게 연결되어 있다"며 보이유섹이 중기부의 위장 회사로 보인다는 내용을 담고 있습니다.

chinese-mss-behind-apt3-6.png

이미지 ©2017 디지털글로브, 지도 데이터 ©2017

보이유섹은 중국 광저우의 화푸 스퀘어 웨스트 타워 1103호에 위치해 있습니다.

보이유섹의 또 다른 '협력 파트너'인 광동 ITSEC과의 협업은 잘 알려지지 않았습니다. 아래에서 설명하겠지만, 레코디드 퓨처의 조사 결과, 광동 ITSEC은 중국 정보기술평가센터(CNITSEC)라는 중국 국가정보화부 산하 조직이며 보이유섹은 2014년부터 광동 ITSEC과 공동 활성 방어 연구소를 운영해 왔다는 결론을 내렸습니다.

광동 ITSEC은 CNITSEC이 인증하고 관리하는 전국적인 보안 평가 센터 네트워크 중 하나입니다. 중국 관영 매체에 따르면, 광동 ITSEC은 2011년 5월 CNITSEC의 16번째 전국 지부가 되었습니다. 광동 ITSEC의 사이트 헤더에도 CNITSEC의 광동 사무소로 표시되어 있습니다.

중국과 사이버 보안에 게재된 학술 연구에 따르면: 디지털 영역에서의 스파이 활동, 전략 및 정치에 따르면 CNITSEC은 국가안전부(MSS)가 운영하며 정보기관의 사이버 기술 전문성을 대부분 보유하고 있습니다. CNITSEC은 "취약성 테스트 및 소프트웨어 신뢰성 평가"를 수행하는 데 사용됩니다. 2009년 미국 국무부 케이블에 따르면, 중국은 정보 작전에도 CNITSEC의 활동에서 파생된 취약점을 사용할 수 있다고 합니다. CNITSEC의 우시중 국장은 2016년 1월까지 중국 국가정보보안표준위원회 부주임으로 일한 경력을 포함해 스스로를 국가안전부 소속이라고 밝히기도 했습니다.

레코디드 퓨처의 조사 결과, 일자리를 구할 수 있는 중국어 구인 사이트(jobs.zhaopin.com)에서 여러 구인 광고를 확인할 수 있었습니다, jobui.com, 보유섹은 2014년에 광동 ITSEC과 공동으로 설립한 공동 능동형 방어 연구소(이하 ADUL)를 공개하며, 2015년부터 칸쥔닷컴을 운영하고 있습니다. 보이유섹은 위험 기반 보안 기술을 개발하고 사용자에게 혁신적인 네트워크 방어 기능을 제공하는 것이 공동 연구소의 사명이라고 밝혔습니다.

chinese-mss-behind-apt3-7.png

보이유섹이 광동 ITSEC과의 공동 연구소를 소개하는 채용 공고입니다. 번역된 문구는 "2014년 광저우 보위 정보 기술 회사와 광둥 ITSEC는 긴밀히 협력하여 공동 능동 방어 연구소(ADUL)를 설립했습니다."입니다.

결론

APT3의 라이프사이클은 국가안보국이 인적 영역과 사이버 영역 모두에서 작전을 수행하는 방식을 상징적으로 보여줍니다. 중국 정보학 학자들에 따르면 중국 국가안전부는 국가, 지방, 지방의 요소로 구성되어 있습니다. 특히 주 및 지역 수준에서 이러한 요소 중 상당수는 유효한 공공 임무를 가진 조직을 포함하여 국가안보부의 정보 작전을 위한 위장 역할을 합니다. 이러한 조직 중에는 CICIR과 같은 싱크탱크도 있고, 지방 정부 및 지역 사무소도 있습니다.

APT3와 보이유섹의 경우, 이 MSS 운영 개념은 사이버 활동과 라이프사이클을 이해하는 모델로 활용되고 있습니다:

  • 보이유섹은 웹사이트와 온라인 사이트를 운영하고 있으며 '정보 보안 서비스'라는 사명을 명시하고 있지만, 파트너는 화웨이와 광동 ITSEC 두 곳만 언급하고 있습니다.

  • 인트루전트루스와 워싱턴 프리 비컨은 보이유섹이 중국 정보기관을 대신해 사이버 활동을 지원하고 관여한 것으로 보고 있습니다.

  • 레코디드 퓨처의 오픈 소스 조사 결과, 보이유섹의 또 다른 파트너는 중기청의 한 지사 현장 사무소인 것으로 밝혀졌습니다. 보이유섹과 광동 ITSEC은 적어도 2014년부터 함께 협력해 온 것으로 기록되어 있습니다.

  • 수십 년에 걸친 학술 연구는 정보 임무가 없는 것처럼 보이는 조직을 국가 모든 수준에서 국가안보국 정보 작전을 위한 위장 조직으로 활용하는 국가안보국 운영 모델을 문서화했습니다.

  • 보유섹의 웹사이트에 따르면, 보유섹은 중국 정보기관을 지원하기 위해 협력하고 있는 파트너는 단 두 곳이며, 그 중 한 곳(화웨이)은 중국 국가안전부 지사의 현장 사이트인 광둥 ITSEC과 협력하고 있습니다.

chinese-mss-behind-apt3-8.jpg

MSS와 APT3의 관계를 보여주는 그래픽.

영향

그 의미는 분명하고 광범위합니다. 레코디드 퓨처의 연구 결과, APT3가 중국 국가안전부와 보이유섹의 소행으로 높은 확신을 가지고 있습니다. 보이유섹은 악성 기술을 생산하고 중국 정보기관과 협력한 기록이 있습니다.

APT3는 MSS에 직접적으로 높은 신뢰도를 가지고 귀속된 최초의 위협 행위자 그룹입니다. APT3의 피해를 입은 분야의 기업들은 이제 중국 정부의 자원과 기술을 방어하기 위해 전략을 조정해야 합니다. 이러한 실제 다윗과 골리앗의 상황에서 고객은 스마트한 보안 제어와 정책은 물론 실행 가능하고 전략적인 위협 인텔리전스가 모두 필요합니다.

APT3는 단순히 악의적인 사이버 활동을 하는 또 다른 사이버 위협 그룹이 아니라, 연구 결과에 따르면 보이유섹은 국가안전부의 자산이며 그들의 활동은 중국의 정치, 경제, 외교, 군사 목표를 지원하는 것으로 나타났습니다.

국가안전보장부는 국가 및 당 지도부로부터 정보 수집 요구 사항을 도출하며, 그 중 상당수는 5년마다 5개년 계획이라는 공식 정부 지침에 광범위하게 정의되어 있습니다. 많은 APT3 피해자가 친환경/대체 에너지, 국방 관련 과학 및 기술, 생물의학, 항공우주 등 최근 5개년 계획에서 강조한 분야에 속해 있습니다.

관련