구글 클라우드 “EDR 미설치 시스템, 브릭스톰 백도어 잠복 여부 탐지해야”

엔드포인트 탐지·대응 솔루션(EDR)이 설치되지 않은 시스템에 대해 브릭스톰 백도어가 잠복해 있는지 적극 탐지해야 한다는 제언이 나왔다.

구글 클라우드 사이버보안 전담 조직 맨디언트 컨설팅은 EDR 에이전트가 설치되지 않은 어플라이언스에 브릭스톰 백도어를 설치하는 다수 공격에 대응했다고 26일 밝혔다.

브릭스톰은 VM웨어 vCenter 서버를 목표로 하는 백도어 프로그램이다. 웹 서버 역할을 하며 파일시스템과 디렉토리 조작, 파일 업로드·다운로드, 셸 명령 실행 등 역할을 수행한다.

구글 클라우드에 따르면, 이번 공격의 표적은 법률기업, 서비스형 소프트웨어(SaaS) 제공기업, 기술 기업 등 민감한 데이터를 보유한 기업이다. 피해자의 환경에 지속적으로 접근해 가치가 높은 지적재산(IP)과 민감 데이터를 탈취하려는 게 공격 목적으로 파악됐다.

실제로 이번 공격은 고급 포렌식 회피와 멀웨어 변형 기법을 사용해 평균 393일동안 탐지되지 않은 상태로 지속됐다. 공격자들은 시작 스크립트를 변조하고 백도어를 배포해 초기 대응을 회피했다. 또한 VM웨어 vCenter 및 ESX 호스트와 같은 새로운 장치 플랫폼을 활용하고, 메모리 내 변조, 맞춤형 드로퍼, 난독화 기법을 사용해 탐지를 회피했다.

이에 찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 “브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다”며 “EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극 탐지하는 것을 권장한다”고 당부했다.

현대인 기자 modernman@etnews.com