전체메뉴

[애플경제 이윤순 기자] 미국을 비롯한 각국 보안당국이 합동조사를 펼친 결과 중국 해커가 전 세계 수천 대의 기기에 주입한 맬웨어를 삭제할 수 있었다고 밝혔다. ‘플러스X’(PlugX) 맬웨어의 명령 및 제어 서버를 제어한 후 자체 삭제 메커니즘을 트리거, 악성 프로그램을 제거할 수 있었던 것으로 밝혀졌다.

최근 엔가젯, 테크크런치, 블룸버그 등을 종합하면 미국 법무부와 FBI는 프랑스 등 여러 나라의 사법당국과 협력, 최근 전 세계 4,200대 이상의 컴퓨터에서 ‘PlugX’ 맬웨어를 제거했다, 이에 관해 공개된 문서에 따르면, ‘Twill Typhoon’ 또는 ‘Mustang Panda’라고도 불리는 사이버 공격 그룹은 2014년경부터 활동해 왔다. 중국이 이들에게 배후에서 자금을 공급, 사이버공격을 위한 특정 버전의 ‘PlugX’ 맬웨어를 개발한 것으로 알려졌다.

각국 정부기관, 기업 침투 ‘간첩’ 활동

‘PlugX’ 맬웨어 패밀리는 2008년 초부터 사이버공격에서 관찰되었다. 여러 사이버 범죄자들이 이를 활용했지만 전문가들은 “대체로 ‘무스탕 판다’를 비롯한 중국과 관련된 간첩 중심 그룹과 관련이 있다”고 추측하고 있다.

미 FBI는 보고서에서 “공격자들이 맬웨어를 사용하여 미국 정부 기관과 민간 기업의 컴퓨터에 보관된 파일과 기타 정보를 빼내었으며, 이를 통해 간첩 목적으로 사용했다”고 밝혔다.

이에 따르면 사이버공격자들은 각국의 공공기관도 표적으로 삼고 있다. 2024년에는 유럽 해운 회사나, 2021년~2023년에는 여러 유럽 정부를 표적으로 삼은 것으로 알려졌다. 이번 합동 수사와 조사를 통해 프랑스 사법 기관이 감염된 기기에 명령을 보낼 수 있는 명령 및 제어(C2) 서버에 액세스한 후 대상 기기에서 맬웨어를 제거할 수 있었다.

프랑스 당국은 맬웨어의 인프라에 C2 서버를 제어하면 활용할 수 있는, 기본 ‘자체 삭제’ 기능이 포함되어 있음을 확인했다. 이 메커니즘을 작동하면 대상 장치에서 ‘PlugX’ 맬웨어가 만든 모든 파일과 시스템이 부팅될 때, 이를 자동으로 실행하는 데 사용된다. 모든 ‘PlugX’ 레지스트리 키를 삭제하고, ‘PlugX’ 애플리케이션이 실행을 중지하면 제거된다.

‘PlugX’는 사이버 간첩용 ‘트로이 목마’

보안업체 ‘Check Point Software’는 “‘PlugX’는 다양한 기능을 갖춘 모듈식 맬웨어”라면서 “모두 간첩 행위에 적합하다.”고 밝혔다. 이에 따르면 ‘PlugX’는 사이버 간첩 행위에 사용되는 강력한 원격 액세스 트로이 목마(RAT)라고 할 수 있다. 특유의 ‘모듈식 설계’ 덕분에 공격자는 특정 요구 사항에 맞게 기능을 조정, 데이터 도용이나, 키 로깅, 파일 조작, 감염된 시스템에서의 명령 실행과 같은 활동을 할 수 있다.

이는 또 스피어 피싱 캠페인, 취약점 악용, 또는 악성 첨부 파일을 통해 액세스 권한을 획득하는 방식으로 확산된다.

‘PlugX’와 같은 악성 도구로 인한 위협엔 어떻게 대처해야 할까. 이에 대해 각국 사이버당국은 “흔히 맬웨어가 실행될만한 인프라를 표적으로 삼는 경우가 많다”고 했다. 실제로 미국과 프랑스 당국이 최근 수행한 수사와 조사에서도 이는 사실로 드러났다.

이에 지난 2019년 그랬던 것처럼 각국은 ‘Imminent Monitor RAT’에 연결된 서버를 압수하는 등의 시도를 했다. 이를 통해 사이버 범죄 인프라를 해체하고, 사용자를 정교한 맬웨어나 개인 정보 위협으로부터 보호하기 위한 것이다.

이번 작전에 대해 미 법무부는 특히 프랑스 정부의 공로를 인정하며, “‘Volt Typhoon’이나 ‘Flax Typhoon’, ‘APT28’과 같은 중국과 러시아 해킹 그룹에 대응하기 위해 강력한 파트너십을 구축, 성공할 수 있었다”고 공식적으로 밝혔다.