VM웨어 및 F5 솔루션 겨냥한 ‘파이어 앤트’ 사이버 스파이 캠페인 주의보

[아이티데일리] 중국 연계 사이버 스파이 그룹 ‘파이어 앤트(Fire Ant)’가 VM웨어 ‘ESXi’ 호스트와 ‘v센터 서버(vCenter Server)’, 그리고 F5의 빅아이피(BIG-IP) 네트워크 어플라이언스를 주요 표적으로 삼아 수 년에 걸쳐 사이버 공격을 준비 및 실행하고 있다는 추적 분석 결과가 공개됐다. 

파이어 앤트는 하이퍼바이저 레벨에서 장기간 은밀하게 활동하면서 기존 보안 도구의 탐지를 우회하는 정교한 기법을 구사하고 있는데, 발표된 지 2~3년이 지난 취약점들 기반의 공격임에도 불구하고 최근까지 실제 침해 사고를 당한 기업들이 계속해서 보고되고 있어 각별한 주의가 필요하다는 지적이 나온다.

28일 보안 업계에 따르면, 이스라엘 기반의 사이버 보안 및 사고 대응 전문 기업 사이그니아(Sygnia)는 최근 파이어 앤트(Fire Ant)’ 그룹의 고도화된 공격 기법을 분석한 결과를 발표, 기업 가상화 및 네트워크 인프라에 대한 심각한 경고를 내렸다.

사이그니아에 따르면 2025년 초부터 활발하게 활동하고 있는 파이어 앤트 그룹은 사고 대응 팀의 봉쇄 조치에 실시간으로 적응하며 백도어를 재배포하고 네트워크 구성을 조작해 지속적인 접근을 유지하는 등 적극적이고 고도화된 위협 양상을 보여주고 있다.

하이퍼바이저 침투 후 다층 공격 체계 구축

분석에 따르면 파이어 앤트는 VM웨어 v센터 서버의 취약점(CVE-2023-34048)을 악용해 초기 침투 경로를 확보한다. 이 취약점은 CVSS 9.8점으로 매우 심각한 수준으로 평가되며, 네트워크 접근 권한을 가진 공격자가 v센터 서버에서 무단 명령을 실행할 수 있도록 한다. 공격자는 이를 통해 vpxuser 서비스 계정의 자격 증명을 탈취하고, 연결된 모든 ESXi 호스트에 대한 광범위한 접근 권한을 확보한다.

침투에 성공한 공격자는 파이썬(Python) 기반의 악성 임플란트인 ‘autobackup.bin’을 배포해 명령 실행, 파일 업로드 및 다운로드 등의 기능을 수행한다. 나아가 또 다른 취약점(CVE-2023-20867)까지 함께 연계해 하이퍼바이저로 게스트 가상머신을 직접 제어하는 침투 기법을 구사한다. 이 과정에서 게스트 가상머신의 메모리 스냅샷을 추출해 도메인 자격 증명을 획득하고, VMCI 소켓을 활용해 횡적 이동을 통한 백도어 확산을 진행한다.

파이어 앤트는 F5 빅아이피 장비도 공격 대상으로 삼았다. 공격자는 F5 빅아이피 로드밸런서의 iControl REST 인증 우회 취약점(CVE-2022-1388)을 악용했다. 이 취약점 역시 CVSS 9.8점으로 심각한 수준이며, 네트워크 접근 권한을 가진 공격자가 F5 빅아이피 시스템에서 임의의 시스템 명령을 실행할 수 있도록 한다. 파이어 앤트는 이 취약점을 통해 F5 로드 밸런서에 웹셸을 배포했고, 이를 통해 서로 다른 네트워크 세그먼트 간의 터널을 생성해 측면 이동을 가능하게 했다.

공격자는 가상화 호스트와 관리 서버 양쪽에 영구 백도어를 심어 시스템 재부팅 이후에도 지속적인 접근을 보장한다. 이 과정에서 ‘버추얼피타(VIRTUALPITA)’로 알려진 악성코드 및 연관 도구들을 사용하며, V2레이(V2Ray) 프레임워크를 활용한 네트워크 터널링과 미등록 가상머신 배포를 통해 네트워크 세그먼트 간 지속성을 확보한다.

탐지 회피와 포렌식 방해를 위한 정교한 은폐 기법

사이그니아는 파이어 앤트의 가장 위험한 특징 중 하나로 탐지와 대응을 방해하기 위해 고도로 발달된 은밀 기법을 꼽았다. 공격자는 ESXi 호스트의 로깅 시스템인 vmsyslogd 프로세스를 의도적으로 종료시켜 감사 추적을 방해하고 포렌식 분석을 어렵게 만든다. 이는 전통적 보안 도구들이 하이퍼바이저 레벨에서의 활동을 효과적으로 모니터링하기 어렵다는 구조적 한계를 악용한 것이라는 설명이다.

또한 공격자는 포렌식 도구를 위장한 페이로드 이름을 사용하거나, 감염된 자산을 반복적으로 재손상시키는 방식으로 사고 대응팀의 활동을 교란한다. 특히 사고 대응팀의 봉쇄 조치에 실시간으로 적응하며 도구를 변경하고 백도어를 재배포하는 등 매우 높은 수준의 복원력을 보여준다고 사이그니아 측은 강조했다.

사이그니아 보고서는 “공격자는 피해 조직의 네트워크 아키텍처와 보안 정책에 대한 ‘깊은 이해’를 바탕으로 활동하며, 이는 장기간에 걸친 정찰과 분석을 통해 획득한 것으로 분석된다”면서 “이러한 특성은 파이어 앤트가 단순히 기회를 포착해 공격하는 것이 아닌, 체계적이고 전략적인 사이버 스파이 활동을 수행하고 있음을 시사한다”고 했다.

사이그니아의 요아브 마조르(Yoav Mazor) APJ 지역 사고 대응 책임자는 “파이어 앤트는 전통적인 다층 보안 조치를 회피하고 인프라 사각지대를 표적으로 삼아 탐지를 피하면서 스파이 캠페인을 수행할 수 있는 매우 고도화된 능력을 보여준다”며 “가상화 관리 계층에 대한 통제권을 확보함으로써 서비스 계정 자격 증명을 추출하고 ESXi 호스트와 v센터 모두에 지속적인 백도어를 배포해 재부팅에도 불구하고 접근을 유지할 수 있었다”고 설명했다.

2022년부터 활동한 중국 연계 APT 그룹 UNC3886과 유사

이번에 분석한 파이어 앤트 캠페인은 중국 연계 APT 그룹 UNC3886의 이전 활동과 상당한 유사점을 보여준다는 점에서 특히 주목된다. UNC3886은 2022년부터 VM웨어 v센터와 ESXi 취약점을 지속적으로 악용해왔으며, 특히 v스피어(vSphere) 설치 번들을 감염시켜 버추얼피타와 버추얼파이(VirtualPIE)라는 백도어를 하이퍼바이저에 설치하는 공격 기법으로 알려져 있다.

파이어 앤트와 UNC3886 간의 연관성은 사용되는 특정 바이너리, v센터와 ESXi 취약점 악용 방식, 그리고 유사한 산업 부문을 표적으로 하는 패턴에서 확인된다. 두 그룹 모두 중요 인프라를 대상으로 하며, 특히 가상화 환경에서의 장기간 은밀한 활동을 통해 전략적 정보를 수집하는 것을 목표로 한다. 사이그니아는 “파이어 앤트 그룹의 활동 시간 및 명령 실행 중 관찰된 미세한 입력 오류 등에 미뤄봤을 때 중국어 키보드 레이아웃과 흔적이 일치한다”고 분석하며 “이전 지역 활동 지표와 일관성을 보인다”고 밝혔다.

보안 전문가들은 이러한 공격이 단순히 개별 기업의 문제가 아닌 국가 차원의 사이버 안보 위협으로 발전할 수 있다고 경고하고 있다. 하이퍼바이저 레벨에서의 공격은 물리적 서버 하나가 손상되는 것과 달리 해당 호스트에서 구동되는 모든 가상머신과 서비스에 동시에 영향을 미칠 수 있기 때문이다.

보안 컨설팅 및 보안관제 전문기업 티앤디소프트의 기술연구소장 김영곤 상무는 “많은 기업들이 이미 알려진 보안 취약점에 대해 제대로 대응하지 못해 금전적인 손해를 입거나 해킹 공격에 노출되는 사례가 빈번하게 발생하고 있다. 특히 하이퍼바이저 레벨의 공격은 위험도 범위가 한층 더 높고 광범위하다는 점에서 보안담당자들의 각별한 주의가 필요하다”면서 “현재 이슈가 되고 있는 공급망 보안 관점에서 사용하고 있는 소프트웨어에 대한 버전 및 취약점 정보를 실시간으로 파악하고 대응하는 노력이 필요하며, 아울러 비정상적인 행위나 트래픽에 대한 통합된 모니터링과 분석 체계를 갖춰 위험에 대한 사전 대응을 할 수 있도록 노력하는 것이 중요하다”고 조언했다.