맨디언트(Mandiant)는 글로벌 네트워크 솔루션 기업 주니퍼네트웍스(Juniper Networks)에서 발생한 맬웨어(malware) 공격에 대한 조사 결과를 발표했다.

2024년 중순, 맨디언트는 주니퍼네트웍스의 주노스 운영체제(Junos OS)에서 실행되는 맞춤형 백도어(backdoor)가 배포된 사실을 발견했다. 조사 결과, 이 공격은 중국 연계 사이버 스파이 그룹 UNC3886의 소행으로 확인됐다. UNC3886은 정교한 공격 기술을 활용하며, 주로 ‘제로데이 익스플로잇(zero-day exploits)’을 이용해 네트워크 장치와 가상화 기술을 표적으로 삼고 있다.

주요 공격 대상은 미국과 아시아 지역의 국방, 기술 및 통신 기업이다.

EOL 주니퍼 MX 라우터 공격 확인

맨디언트와 주니퍼네트웍스의 합동 조사 결과, UNC3886은 지원 종료된(EOL) 주니퍼 MX 라우터의 하드웨어와 소프트웨어를 이용해 공격을 실행한 것으로 밝혀졌다. 맨디언트 연구진은 “UNC3886이 사용한 맞춤형 멀웨어 샘플은 고급 시스템 내부 구조에 대한 심층적인 지식을 기반으로 제작되었다”고 분석했다. UNC3886은 2022년과 2023년에도 가상화 기술과 네트워크 에지 디바이스를 대상으로 한 맞춤형 멀웨어를 배포한 전력이 있다.

UNC3886의 공격 방식

① 맞춤형 맬웨어 배포

맨디언트는 지원 종료된 다수의 주니퍼 MX 라우터에서 6가지 변종 멀웨어를 발견했다. 이 멀웨어는 TINYSHELL 백도어를 변형한 버전으로, 장기간 탐지를 회피하도록 설계되었다. 능동적 및 수동적 백도어 기능을 갖추고 있으며, 보안 모니터링 시스템을 무력화하는 임베디드 스크립트가 포함되어 있다.

② Veriexec 보안 메커니즘 우회

주노스 운영체제의 보안 기능인 Veriexec은 승인되지 않은 바이너리 실행을 방지하지만, UNC3886은 새로운 공격 기법인 ‘프로세스 인젝션(process injection)’을 활용해 이를 우회했다. 이 기법을 통해 악성 코드를 합법적인 프로세스의 메모리에 삽입하여 Veriexec을 우회한 것으로 나타났다.

③ 내부 네트워크 장비 공격

과거 UNC3886은 네트워크 에지 디바이스 공격에 집중했으나, 이번 조사 결과 ISP(인터넷 서비스 제공업체)의 라우터와 같은 내부 네트워킹 인프라도 공격 대상으로 삼고 있음을 시사한다. 이러한 공격이 성공할 경우, 상당한 보안 위협이 발생할 수 있다.

네트워크 디바이스 보안 조치 권고

이번 공격 사례는 네트워크 디바이스의 보안 업데이트 중요성을 다시 한번 강조한다. 맨디언트와 주니퍼네트웍스는 최신 보안 패치 적용 및 보안 강화 조치를 권고했다. 주요 보안 조치는 다음과 같다.

① 안전한 인증 : 다중 인증(MFA) 및 역할 기반 접근 제어(RBAC)를 활용하여 중앙 집중식 ID 및 액세스 관리(IAM) 시스템을 구축해야 한다.

② 구성 관리: 네트워크 구성 관리를 통해 설정 변경을 자동 감지하고, 보안 편차를 수정하는 기능을 도입해야 한다.

③ 모니터링 강화 : 고위험 관리 활동을 식별하고 탐지 효과를 지속적으로 검토하는 모니터링 솔루션을 운영해야 한다.

④ 취약점 관리 : 운영 체제 및 네트워크 디바이스의 취약점을 사전 패치하고, 보안 취약점을 최소화해야 한다.

⑤ 디바이스 수명 주기 관리 : EOL 장비 교체 계획을 포함한 디바이스 수명 주기 관리 프로그램을 구축해야 한다.

⑥ 보안 강화 : 네트워크 장치 및 관리 시스템에 대해 엄격한 액세스 제어와 네트워크 세분화를 적용해야 한다.

⑦ 위협 인텔리전스 활용 : 최신 위협 정보를 적극적으로 활용하여 보안 제어를 개선해야 한다.

맨디언트는 향후에도 UNC3886과 같은 정교한 해킹 그룹의 활동을 면밀히 추적하고, 네트워크 보안 강화를 위한 추가 연구를 지속할 예정이다.