adsense_in_article_test


4개월에 걸친 뉴욕 타임스 해킹, 범인은 중국군 사이버 부대? IT/잡담

관련 기사: 뉴욕 타임스

뉴욕 타임스(New York Times, 이하 NYT)가 무려 4개월 동안 중국 해커들의 공격을 받았다고 한다.

원자바오 총리의 막대한 재산 축적에 대한 기사가 온라인으로 공개된 2012년 10월 25일을 전후해서다.

해커들은 NYT 상해 지국장 데이빗 바르보자(David Barboza), 그리고 과거 북경에서 근무한 바 있는 남아시아 지국장 짐 야들리(Jim Yardley)의 이메일 계정을 비롯해서 다수의 컴퓨터를 해킹했다는데, 전모는 대략 이렇다.


2012년 10월 24일, 원자바오의 재산을 취재하는 행동에는 대가를 치를 것이라는 중국 정부 관계자들의 경고를 들은 NYT는 ISP인 AT&T에 이상 징후를 감시해 달라고 요청.

2012년 10월 25일, 원자바오 재산축적 폭로 기사 온라인 공개. AT&T는 NYT에 중국군 사이버 부대에서 과거에 감행했던 공격과 유사한 형태의 이상 징후가 감지되었다고 통보.

NYT는 FBI에 공격 사실을 신고하고 AT&T와 함께 조사 및 사고 대응에 착수.

2012년 11월 7일, AT&T와의 협력에도 불구하고 여전히 해커들이 시스템들을 점유하고 있다는 징후가 사라지지 않자 NYT는 보안전문업체 맨디언트(Mandiant)를 고용.

해커들의 활동은 북경 기준 시간으로 아침 8시에 시작, 퇴근 시간 무렵에 종료. 간혹 자정까지 활동하는 경우도 있었다고 한다.

해커들은 먼저 미국의 대학들의 컴퓨터들을 해킹해서 접근권을 확보한 후, 이를 경유지로 이용해서 NYT를 공격.

최초 침입 경로는 확실치 않으나 악성코드가 첨부된 이메일을 이용한 스피어-피싱(spear-phishing) 공격으로 PC에 침입했을 것으로 추정.

포렌식 분석에 의하면, 최초 침입 시기는 원자바오 기사가 거의 완성되어 가던 9월 13일 경으로 추정되며 해커들은 적어도 3개의 백도어(backdoor)를 확보.

해커들은 이후 3개월에 걸쳐 무려 45종의 자체개발 악성 코드를 설치했으며, NYT 메일 서버에서 바르보자와 야들리의 메일을 검색. (NYT 컴퓨터에는 시만텍의 백신이 설치되어 있었는데, 단1종만 악성 코드로 탐지했다)

10월 25일 이후 해커들의 활동이 활발해지고 대통령 선거가 있던 11월 6일에도 유난히 활발한 활동.

해커의 침입을 알고 있던 편집장들은 해커들이 기사 발행 시스템을 파괴할 가능성을 우려했으나 그런 일은 일어나지 않았다. 해커들은 충분히 그렇게 할 수도 있었으나, 목표는 그게 아니었고 계속 바르보자가 누구와 어떤 메일을 주고받았는지 파악하려 한 것으로 보인다. 즉, 누가 바르보자에게 원자바오의 재산 문제를 제보했는지 색출하려고 했던 것 같다.

사실 바르보자는 제보를 받아서 기사를 쓴 것이 아니었다. 중국 정부에서 발행한 - 법률회사나 컨설팅 회사가 일정 사용료만 내면 입수할 수 있는 - 방대한 양의 법인 관련 문서들을 비롯한 공개 자료들을 연구해서 기사를 썼던 것.

NYT는 해커들이 사용하는 백도어를 남김 없이 모두 파악하기 위해 4개월간 해킹을 방치하면서 감시한 후, 해킹 당한 컴퓨터를 모두 교체하고 직원들의 암호를 모두 바꾸고 시스템 보안을 더 강화.

맨디언트는 공격 기법과 유형의 유사성을 근거로 중국군 사이버 부대의 소행일 것이라고 추정.

중국측은 명백한 증거를 대라며 혐의를 전면 부인.

맨디언트 관계자: "한번 침입해서 그 먹잇감이 마음에 들면, 나중에 다시 돌아오는 경향이 있다."
 


덧글

댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.



통계 위젯 (화이트)

14171
2305
2454962

2019 대표이글루_IT

B-Side