맨디언트 컨설팅, '브릭스톰' 백도어 공격 주의 당부...'1년 넘게 미탐지'

구글 클라우드는 자사 맨디언트 컨설팅이 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 브릭스톰 백도어를 설치하는 다수의 공격에 대응했다고 26일 밝혔다. 

맨디언트 컨설팅에 따르면 해당 공격은 'UNC5221', 중국과 연관된 위협 행위자들의 소행으로 추정된다. 'UNC5221'은 과거 '실크 타이푼'으로 보고된 위협 행위자와 동일한 것으로 여겨졌으나 구글 위협 인텔리전스 그룹(GTIG)은 현재 두 클러스터 그룹을 각각의 독립된 위협 행위자로 파악하고 있다. 

공격 목적은 피해자 환경에 대한 접근 권한을 유지해 가치가 높은 지적 재산(IP) 및 민감한 데이터를 탈취하는 것으로 보인다. 법률 회사, 서비스형 소프트웨어(SaaS) 제공업체, 기술 기업 등 핵심 인프라를 겨냥한 공격이 단행됐다. 이들의 공격은 고급 포렌식을 회피하고 멀웨어 변형 기법을 사용해 평균 393일동안 탐지되지 않은 상태로 지속됐다.

찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다"며 "'UNC5221'이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다"고 경고했다.

임경호 기자 lim@techm.kr