중국 해커 그룹 StormBamboo(또는 StormCloud, Evasive Panda로도 알려짐)이 인터넷 서비스 제공업체(ISP)와 macOS 및 Windows 운영 시스템을 사용하는 여러 기기를 성공적으로 침투했다고 사이버 보안 기관 Volexity가 보고했습니다. 이번 공격은 HTTP와 같은 안전하지 않은 프로토콜을 이용해 DNS 쿼리 응답을 변조하는 방식으로 이루어졌습니다.
공격자들은 정상적인 자동 소프트웨어 업데이트 프로세스에 악성 소프트웨어(macOS용 MACMA, Windows용 MGBot/POCOSTICK)와 해로운 Google Chrome 확장 프로그램을 삽입했습니다. 이를 통해 ISP의 인프라에 대한 완전한 통제권을 확보하고, 하위 피해 대상을 효과적으로 공격할 수 있었습니다.
이번 사례는 암호화되지 않은 네트워크 통신의 치명적인 취약점을 보여줍니다. 암호화가 반드시 보안을 보장하지는 않지만, 전혀 암호화되지 않은 것보다는 훨씬 더 효과적입니다. 사용자에게 무해해 보이는 HTTP 사용이 공격자에게 ISP 인프라에 대한 완전한 통제권을 주었습니다.
이번 공격은 자동화된 프로세스의 위험성을 보여줍니다. 자동 소프트웨어 업데이트 기능만으로는 불충분하며, 이러한 프로세스에 대한 보안 강화 조치가 필수적입니다. StormBamboo의 행위는 악성 페이로드를 정상적인 기능으로 위장하여 전달할 수 있음을 시사합니다.
공격의 출발점은 피해 기관의 훼손된 방화벽으로 보였지만, 공격자는 ISP의 DNS 스푸핑 기법을 이용해 최종 목표에 도달했습니다. 이는 사용자 측 실수가 아닌 ISP 수준의 강력한 보안 조치가 필요함을 시사합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.