中 연계 해킹조직, EDR 사각지대 노려 ‘브릭스톰’ 백도어 침투

(씨넷코리아=김태훈 기자) 구글 클라우드 산하 맨디언트 컨설팅(Mandiant Consulting)이 최근 엔드포인트 탐지 및 대응(EDR) 솔루션이 설치되지 않은 어플라이언스를 노린 정교한 사이버 공격을 확인했다고 밝혔다.

맨디언트 컨설팅에 의하면 공격자는 ‘브릭스톰(BRICKSTORM)’이라는 백도어를 심어 피해자의 환경에 장기간 잠복하며 주요 데이터를 빼냈다.

이번 공격은 중국 연계 위협 행위자로 알려진 UNC5221의 소행으로 추정된다는 설명이다. 맨디언트 조사에 따르면 이들은 포렌식 탐지를 교묘히 회피하고 악성코드를 변형하는 기법을 사용해 평균 393일 동안 발각되지 않은 채 활동을 이어왔다.

특히 법률회사, SaaS 제공업체, 기술 기업 등 핵심 인프라와 고가치 데이터를 보유한 기관이 주요 표적이었다. 전문가들은 이번 공격의 목적이 단순한 정보 유출을 넘어 지정학적 스파이 활동, 취약점 확보, 지적 재산권 탈취에 있다고 보고 있다. 미국 내 법률 분야를 겨냥한 공격 역시 국가 안보 및 국제 무역과 관련한 정보를 노린 것으로 분석된다.

위협 행위자들은 VMWare vCenter, ESX 호스트 등 새로운 장치 플랫폼을 악용했으며, 메모리 내 변조, 맞춤형 드로퍼(dropper), 난독화 기법 등을 활용해 탐지를 피했다. 또한 시작 스크립트를 변조하거나 백도어를 배포하는 방식으로 장기간 액세스를 유지했다.

찰스 카르마칼(Charles Carmakal) 맨디언트 컨설팅 최고기술책임자(CTO)는 “브릭스톰 백도어 공격은 고급 보안 체계마저 우회하며, 피해 조직을 넘어 SaaS 고객으로 확장될 수 있다”며 “향후 제로데이 취약점 발굴로 이어질 가능성도 크다”고 경고했다. 그는 이어 “EDR이 설치되지 않은 시스템에 브릭스톰 등 백도어 잠복 여부를 적극 탐지해야 한다”고 강조했다.

업계는 이번 사례가 단순한 해킹을 넘어 국가 차원의 사이버 위협으로 확산될 수 있다는 점에서 각별한 주의를 당부하고 있다.