전통적 엔드포인트 보호체계는 에이플라이언스형 장비나 EDR(엔드포인트 탐지 및 대응)이 설치되지 않은 시스템에서의 위협을 충분히 감지하지 못하는 한계를 드러내고 있다.

클라우드·가상화 인프라의 보급으로 VMWare vCenter·ESX 호스트와 같은 플랫폼이 핵심 운영환경으로 활용되면서, 공격자는 이들 플랫폼을 악용해 탐지 회피와 장기간 잠복이 가능한 공격을 설계하고 있다.

이로 인해 고가치 지적 재산권(IP)과 민감한 데이터가 저장된 법률 회사, SaaS 제공업체, 기술 기업 등 필수 서비스 제공 기업들의 보안 위험이 높아지고 있다.

사이버위협 대응 전문기업 맨디언트 컨설팅(Mandiant Consulting, CTO 찰스 카르마칼)은 EDR 에이전트가 설치되지 않은 어플라이언스에 브릭스톰(BRICKSTORM) 백도어를 설치하는 다수의 공격을 확인했다고 밝혔다.

해당 공격은 UNC5221과 중국 연계 위협 행위자들의 소행으로 추정되며, 위협 행위자들은 고급 포렌식 회피 기법과 멀웨어 변형 기법을 동원해 평균 393일 동안 탐지되지 않은 상태로 장기간 유지되었다.

구글의 위협 인텔리전스 조직인 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group, GTIG)은 과거 ‘실크 타이푼(Silk Typhoon)’으로 보고된 클러스터와 관련해 현재는 별개의 독립된 위협 행위자로 파악하고 있다고 밝혔다.

특정 산업 표적형 공격 패턴

조사에 따르면 이번 캠페인은 특정 산업군을 표적으로 삼는 정교한 표적형 공격 패턴을 보였다.

주요 표적은 법률 회사, SaaS 제공업체, 기술 기업 등 민감한 데이터를 보유한 필수 서비스 제공 기업이었다.

공격의 목적은 지정학적 스파이 활동, 지속적 액세스 확보, 취약점 발굴을 통한 지적 재산권(IP) 및 민감 데이터 탈취로 규정되었다.

위협 행위자들은 VMWare vCenter 및 ESX 호스트 등 가상화 플랫폼을 악용하는 기법을 사용해 공격 범위를 넓혔다.

또한 메모리 내 변조(in-memory modification), 맞춤형 드로퍼(dropper), 난독화(obfuscation) 기법을 활용해 시그니처 기반·기술적 탐지를 회피했다.

이들 기법은 포렌식 분석을 어렵게 하고, 기존의 로그·파일 기반 탐지체계에서 흔적을 남기지 않도록 설계되었다.

백도어는 장기간 활성 액세스를 유지하도록 설계되어, 시작(startup) 스크립트의 변조와 백도어 배포를 통해 초기 대응을 회피하고 지속성을 확보했다.

평균 393일이라는 장기 잠복 기간은, 조직이 감지 전까지 위협 행위자가 내부에서 자유롭게 활동하며 데이터 유출 및 추가 침투 발판을 마련할 여지를 제공했다.

이번 사례는 EDR 미설치 환경이 갖는 구조적 취약성을 극명하게 보여준다.

특히 EDR이 없는 어플라이언스는 중앙화된 관리·모니터링의 사각지대로 남기 쉬워, 공격자가 장기간 연속성을 확보하기에 유리한 조건을 제공한다.

또한 UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장될 수 있으며, 향후 제로데이 취약점 발굴과 악용으로 이어질 위험이 존재한다.

이번 공격의 기법과 표적은 기업의 데이터 거버넌스, 공급망 보안, 고객 신뢰성에 직접적인 위협을 가한다.

법률 분야 표적화에 대한 맨디언트의 분석은 이러한 공격이 국가 안보 및 국제 무역 관련 정보를 수집하려는 전략적 목적을 포함할 가능성을 시사한다.

찰스 카르마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 “브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다”고 밝혔다. 그는 또한 “UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나, 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다”며, EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극적으로 탐지할 것을 권고했다.

이번 사건을 계기로 조직은 가상화·에지 인프라에 대한 가시성 확보, EDR 및 침해 탐지 시스템의 적용 범위 확대, 무결성 검사와 런타임 모니터링 강화 등 기술적 대비를 우선시해야 한다.

또한 법률·SaaS·기술 기업은 내부 공급망 및 고객 데이터 접근 통제 정책을 재검토하고, 제3자 서비스 연계 시 최소 권한 원칙과 세분화된 모니터링을 적용해야 한다.

맨디언트 컨설팅의 이번 공개는 EDR 미설치 어플라이언스가 현대 위협 환경에서 즉각적이고 심각한 표적이 될 수 있음을 입증한다.

브릭스톰 백도어 캠페인의 장기 잠복성과 고도화된 회피 기법은 조직이 탐지·대응 체계를 근본적으로 재점검해야 하는 필요성을 제기한다. 특히 고가치 데이터를 보유한 조직은 가시성 확대와 지속적 위협 사냥(threat hunting), 취약점 발굴·패치 프로세스 강화에 장기적인 우선순위를 부여해야 한다.