Security

중국, 또 미국 엿보나...이번엔 브릭스톰 사용

문가용 기자

Published: 12:17, 26 Sep 2025 (Updated: 12:43, 05 Oct 2025)

💡

Editor's Pick
- 중국의 UNC5221, 미국 기업들 장기간 노려
- 공격 효율 높이기 위해 고객사 거느린 기업들 집중해 노려
- 고 언어 기반 백도어인 브릭스톰 활용

중국의 해킹 조직이 미국을 오랜 시간 염탐해 왔다는 사실이 새롭게 드러났다. 구글의 자회사 맨디언트(Mandiant)는 이 캠페인에 브릭스톰(BRICKSTORM)이라는 이름을 붙여 추적하고 있다며, 현재까지의 성과와 결론을 공개했다. 현재로서 브릭스톰의 주된 목적은 민감 정보 탈취로 보인다고 하는데, 공격자들은 피해자 시스템에 평균 393일 머물러 있기까지 했다고 한다. 주요 공격 표적은 법률, 기술, 클라우드, BPO 분야였다.

공격의 대략
맨디언트는 브릭스톰 캠페인의 배후 세력으로 UNC5221을 지목했다. UNC5221은 2025년 1월 이반티(Ivanti) VPN에서 발견된 제로데이 취약점을 대규모로 익스플로잇 한 전력을 가지고 있다. 이번 브릭스톰 캠페인에서도 제로데이 취약점을 익스플로잇 하는 건 똑같은데, 브릭스톰이라는 악성코드를 사용한다는 점이 다르다. 브릭스톰은 고(Go) 언어를 기반으로 만들어진 멀웨어이다. 브릭스톰이 이전 캠페인과 이번 캠페인의 차이점이라 캠페인 자체에 브릭스톰이라는 이름이 붙은 것이다.

“이반티 VPN 제로데이 취약점을 통해 피해자 시스템으로 진입한 UNC5221은 네트워크를 통해 권한 혹은 가치가 높은 시스템으로 먼저 이동합니다. 예를 들어 VM웨어 브이센터(vCenter)나 ESXi 호스트들을 찾는 것입니다. 이것을 위해 브릭스톰을 네트워크 내 여기저기 퍼트리고, 크리덴셜 정보를 탈취한 뒤, SSH를 통해 브이센터 서버로 이동합니다.” 맨디언트 블로그에 게시된 설명이다.

같은 게시글에 의하면 브릭스톰은 SOCKS 프록시 기능을 갖추고 있어 네트워크 내에서 은밀히 움직여가며 트래픽 터널링(traffic tunneling)을 할 수 있다고 한다. 이 과정이 끝나면 공격자들은 피해자의 네트워크 장비를 공격에 활용할 수 있게 되고, 이를 발판 삼아 권한이 높은 사용자 계정까지 가로챌 수 있게 된다.

💡

여기서 잠깐!
‘SOCKS’는 소켓시큐어(Socket Secure)의 약자로, ‘보안 소켓’ 정도의 의미를 가지고 있다. 일종의 프록시 기능이다. 프록시라는 것은, 웹에서 발생하는 트래픽인 HTTP와 HTTPS를 중계하는 게 보통인데, SOCKS는 웹 트래픽은 물론 이메일, P2P, SSH 등 다양한 트래픽을 중계한다. ‘중계한다’는 건 A와 B가 직접 트래픽을 주고받는 게 아니라 중간 지점을 거친다는 의미다. 즉, SOCKS는 다양한 요소들 간 통신을 중간에서 원활하게 만들어주는 역할을 한다는 의미다. 이런 SOCK는 디폴트로 활성화 되어 있는 경우가 많아 차단마저 여의치 않다. 공격자가 SOCKS를 활용할 때 위험해지는 건 이 때문이다. ‘트래픽 터널링’은 트래픽을 원래 목적지가 아닌 다른 곳으로 이동시키는 건데, 중계자 역할을 하는 SOCKS를 이용한 공격자에게는 이것이 쉬운 일이 된다.

공격자가 원하는 건?
공격자들이 피해자 네트워크에 스며든 뒤 정보를 오랜 시간 캐내는 이유는 무엇일까? 맨디언트는 “보다 장기적인 정보 탈취를 위한 발판을 마련하는 것”이라고 보고 있다. “법률, 기술, 클라우드, BPO 기업들의 특징은, 여러 회사들을 고객으로 두고 있다는 것이죠. 공격자들은 이런 고객 기업들을 염두에 두고 각종 서비스 제공 업체들을 침해하는 것으로 보입니다.”

‘기업을 노린다’고 하지만, 기업 내에서도 시스템 관리자와 개발자들이 특히 중요한 표적인 것으로 보인다. 이런 핵심 인력들의 이메일을 집중적으로 노리는 것이 포착됐기 때문이다. “이런 사람들의 이메일 함에는 중국 정부의 경제 드라이브에 도움이 될 만한 자료들이 풍부히 저장돼 있습니다. 그런 정보들을 가져가 경제 발전에 활용하려는 것으로 추정됩니다.” 중국 해커들은 이전부터 영업 비밀과 지적재산을 꾸준히 탈취한 것으로도 악명이 높다.

맨디언트는 “중국 해커들이 미국 기업 내 각종 기술 및 사업 관련 자료들을 꾸준히 노리고 있다”고 이 상황을 정리하며 “뺏기지 않으려면 보안을 당장 강화해야 한다”고 강력하게 권고하고 있다. 그러면서 현 캠페인에서 주무기로 활용되고 있는 브릭스톰용 무료 스캐너를 깃허브를 통해 공유하기 시작했다. 이는 누구나 이 링크(https://github.com/mandiant/brickstorm-scanner)를 통해 열람 및 다운로드가 가능하다.

서드파티 위협
이 캠페인에서 가장 경계해야 할 건 공격자들이 ‘서드파티’를 통해 침투를 시도하고 있다는 것이다. 수많은 사용자들을 거느린 클라우드 업체나 법률 사무소가 뚫리면, 그 회사에서만 문제가 끝나는 게 아니다. 공격자들은 그런 업체들과 계약을 맺고 있는 파트너사들에 대한 접근 권한도 간편하게 가져갈 수 있게 된다. 즉 한 곳만 공격했는데, 수십~수백 곳을 공짜로 공격한 것과 같은 효과를 누릴 수 있는 것이다.

이는 이론상으로만 존재하는 이야기가 아니다. 2025년 4월, 보안 업체 카스퍼스키(Kaspersky)는 북한의 라자루스(Lazarus)가 한국 기업들 내에서 널리 사용되는 파일 전송 플러그인인 이노릭스에이전트(Innorix Agent)의 취약점을 통해 수많은 사용자 기업들에 침투했다는 내용의 보고서를 발표한 바 있다.

호주 콴타스항공은 지난 6월, 마닐라 콜센터에서 사용하는 서드파티 플랫폼을 통한 해킹 공격을 받아 600만 명의 고객들이 개인정보를 도난 당하는 일을 겪었다. 다음 달은 7월에는 알리안츠생명에서 비슷한 사고가 발생했다. 서드파티 도구를 통해 공격자가 140만 명의 개인정보를 훔쳐간 것이었다.

MSP 서비스 업체들도 이런 이유로 잦은 공격에 노출되곤 한다. 드래곤포스(DragonForce)라는 랜섬웨어 조직이 서드파티 도구 중 하나인 심플헬프(SimpleHelp)의 취약점을 통해 MSP 서버 인스턴스에 침투했고, 거기서부터 해당 MSP가 관리하는 수많은 고객사들에 랜섬웨어 페이로드를 전달할 수 있었다. 어마어마한 사건으로 발전할 수 있었지만 다행히 사전에 발견해 차단함으로써 최악의 상황은 면할 수 있었다.

오래된 서드파티 위협, 왜 못 막는가?
그 외에도 서드파티를 통한 침해 사례는 십수년 전까지로 거슬러 올라갈 수 있다. 한 때 메가브리치(대규모 정보 침해 사건)의 대명사로 불렸던 타깃(Target) 사건(2013년)만 해도, 당시 타깃 측과 계약을 맺고 건물에 냉난방 및 환기 시스템을 제공했던 파지오(Fazio)가 먼저 공격을 당했었다. 냉난방 시스템 관리를 위해 파지오 관리자는 원격에서 타깃에 접근할 권한을 가지고 있었는데, 공격자가 이를 악용했던 것이었다.

이와 유사한 문제는 지금까지도 이어지고 있는데, 그건 아무리 갑의 위치에 있는 회사라 해도 을의 보안 강화를 강제할 수 없기 때문이다. 비즈니스 관계를 맺고 있다고는 해도 엄밀히 말해 서로 다른 회사일 뿐인데 보안 강화를 강제하기는 어렵다. 보안 강화라든가 보험 가입, 회사 운영 및 리스크 관리 등은 대부분 회사들이 독립적으로 결정해 추진해야 할 문제지, 외부에서 이래라 저래라 할 수 없다. 수주를 받는 기업의 경우 소규모일 때가 많아 보안에 적극 투자하기가 힘들기도 하다. 이런 이유들이 복합적으로 작용하기 때문에 서드파티를 통한 공격은 당분간 멈추지 않을 것으로 예상된다.