[디지털데일리 김보민기자] 글로벌 네트워크 솔루션 기업 주니퍼네트웍스에서 멀웨어 사고가 발생한 가운데, 배후로 지목된 중국 연계 해킹 조직의 기술 이해도가 높았다는 조사 결과가 나왔다.

구글 클라우드 맨디언트는 지난해 발생한 주니퍼네트웍스 대상 멀웨어 사고에 대한 조사 결과를 14일 발표했다. 지난해 맨디언트는 위협 행위자가 주니퍼네트웍스의 주노스 운영체제(OS)에서 작동하는 맞춤형 백도어를 배포한 점을 발견하고, 중국 연계 사이버 스파이 그룹 'UNC3886'을 지목한 바 있다.

맨디언트에 따르면 UNC3886은 소프트웨어 취약점을 공격하는 '제로데이 익스플로잇' 기술을 구사하고 있다. 네트워크 장치와 가상화 기술을 표적으로 삼고 있고 특히 미국과 아시아 지역의 국방, 기술, 통신 기업을 공격하고 있다.

맨디언트는 주니퍼네트웍스와 합동 조사를 진행한 결과, UNC3886이 지원 종료(EOL)된 주니퍼 MX 라우터의 하드웨어와 소프트웨어를 통해 공격을 자행했다고 판단했다. 조사 연구진은 "UN3886이 사용한 맞춤형 멀웨어 샘플은 그들이 고급 시스템 내부 구조에 대해 심층적 지식을 가지고 있다는 점을 보여준다"고 지적했다.

맨디언트는 조사 과정에서 지원 종료된 주니퍼 MX 라우터에 설치된 6가지 변종 멀웨어를 발견했다. 각 멀웨어는 타이니셸(TINYSHELL) 백도어를 변형한 버전으로, 라우터에 접근해 오랜 기간 탐지를 피할 수 있도록 제작됐다. 이러한 멀웨어에는 능동적 백도어와 수동적 백도어 뿐만 아니라, 표적 장비 로깅 메커니즘을 비활성화해 보안 모니터링 시스템을 차단하는 '임베디드 스크립트' 등 맞춤형 기능이 포함돼 있었다.

주노스 OS 특성상 멀웨어를 실행하기 위해서는 위협 행위자가 보안 메커니즘('Veriexec') 보호를 우회해야 한다. 맨디언트는 메커니즘이 지원되는 하드웨어와 소프트웨어에서 UNC3886의 우회 기법이 성공했다는 증거를 발견하지 못했다고 밝혔다. 다만 지원 종료된 주니퍼 MX 라우터가 감염됐다는 사실을 고려했을 때, UNC3886가 멀웨어 영향을 받은 기기에 대해 최고 관리자 권한을 획득한 것을 확인했다고 부연했다.

맨디언트는 "과거 UNC3886은 네트워크 에지 디바이스 공격에 집중했지만, 이번 공격은 인터넷 서비스 제공업체(ISP) 라우터 등 내부 네트워킹 인프라도 표적으로 삼고 있다는 점을 시사한다"며 "공격이 성공할 경우 상당한 영향을 미칠 수 있다"고 말했다.