오로라 작전

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 역사적 배경
- 2.1. 구글의 발표와 초기 대응
- 2.2. 중국 정부의 반응과 국제사회의 우려
3. 공격 배후와 공격 분석
4. 공격의 영향 및 대응
참조

1. 개요

오로라 작전은 2010년 1월, 구글을 포함한 여러 기업을 대상으로 한 일련의 사이버 공격을 지칭한다. 이 공격은 중국에서 시작되었으며, 인권 운동가의 Gmail 계정 접근을 시도하고, 구글의 지적 재산을 탈취하려는 목적으로 수행되었다. 공격 이후 구글은 중국 내 사업 재검토 및 철수 가능성을 시사했고, 미국 정부는 중국의 해명을 요구했다. 공격의 배후로 'Elderwood'로 명명된 해킹 그룹이 지목되었으며, 인터넷 익스플로러의 제로 데이 취약점을 악용하는 워터 홀 공격 방식이 사용되었다. 이 사건은 국제 사회의 우려를 불러일으켰고, 각국 정부는 인터넷 익스플로러 사용에 대한 경고를 발표했으며, 마이크로소프트는 보안 패치를 발표했다. 2022년 구글은 오로라 작전에 대한 회고 시리즈를 공개했다.

더 읽어볼만한 페이지

2009년 범죄 - 제주 보육교사 살인 사건
2009년 2월 택시기사 박 모 씨가 보육교사 이 모 씨를 성폭행하려다 살해하고 시신을 유기한 제주 보육교사 살인 사건은 미흡한 초동 수사로 미제 사건이 되었으나, 2016년 재수사로 박 씨가 기소되었지만 최종적으로 무죄가 확정되었다.
2009년 범죄 - 2009년 포트 후드 총기 난사 사건
2009년 11월 5일 텍사스주 포트 후드 육군 기지에서 육군 정신과 의무 장교 니달 하산 소령이 총기 난사로 13명이 사망하고 30명 이상이 부상당한 이 사건은 이슬람 극단주의 사상에 심취한 하산의 범행으로, 테러 여부 및 정부 책임 논란을 야기하며 군 내부 보안 강화와 정신 건강 관리 시스템 개선을 이끌었다.
2009년 논란 - 아일랜드 대 프랑스 (2010년 FIFA 월드컵 예선)
아일랜드 대 프랑스 (2010년 FIFA 월드컵 예선)은 2010년 FIFA 월드컵 유럽 지역 예선 플레이오프에서 프랑스가 아일랜드를 합계 2-1로 꺾고 본선에 진출했으나, 2차전에서 프랑스 선수의 핸드볼 반칙이 득점으로 인정되면서 논란이 일었다.
2009년 논란 - 기후연구소 전자우편 논란
기후연구소 전자우편 논란은 2009년 기후연구소 서버 해킹으로 이메일과 문서가 유출되어 지구 온난화 조작 논란이 일었으나, 과학적 부정행위는 발견되지 않았던 사건이다.

오로라 작전 - [전쟁]에 관한 문서
개요
명칭	오퍼레이션 오로라
유형	사이버 공격
시기	2009년 6월 ~ 12월
장소	전 세계적인 규모로 발생 (특정되지 않음)
결과	미국과 중국 간의 외교적 사건 발생
교전 세력
공격 주체	중국의 위협 행위자
방어 주체	미국
지휘관
미국	미지정
중국	미지정
규모
미국	미지정
중국	미지정
피해 규모
미국	구글의 지적 재산 도난
중국	없음

2. 역사적 배경

2010년 1월 12일, 구글은 사이버 공격으로 피해를 입었다고 발표했다. 이 공격은 12월 중순에 발생했으며 중국에서 시작되었다고 밝혔다. 구글 외에도 20개 이상의 다른 회사들이 공격을 받았으며, 일부 소식통에 따르면 34개 이상의 조직이 공격 대상이었다.^[9] 이 공격으로 구글은 중국 내 사업을 재검토하게 되었다.^[2] 이 공격은 구글뿐만 아니라 최소 20개의 대기업을 대상으로 했으며, 인권 운동가들의 Gmail 계정에 접근하는 것을 주요 목적으로 했다는 증거가 있었다. 구글은 조사 결과 등을 토대로 중국에서 철수할 것을 시사했다.^[53]

2010년 1월 14일, 마이크로소프트는 당초 미공개였던 인터넷 익스플로러의 취약점(979352) 정보를 공표했다.^[58]^[59] 이 취약점은 2009년 9월에 이미 파악하고 있었다.^[60] 1월 16일, 맥아피는 이 공격에 인터넷 익스플로러의 취약점을 공략하는 것이 포함되어 있음을 발표했다.^[61]

2010년 3월 3일, 맥아피는 공격의 교훈을 정리한 백서를 발표하면서, 소스 코드 버전 관리 시스템인 퍼포스도 공격당했음을 밝혔다.^[63] 3월 22일, 구글은 중국 본토에서 인터넷 검색 서비스에서 철수하고, 이후 중국에서의 접속은 Google 홍콩 사이트로 전송하는 방침을 밝혔다.^[64]^[65]

2. 1. 구글의 발표와 초기 대응

구글이 중국을 떠날 수도 있다는 발표 이후 구글 중국(Google China) 본사 밖에 놓인 꽃들

2010년 1월 12일, 구글은 자사 웹로그를 통해 사이버 공격 피해 사실을 발표했다. 구글은 공격이 12월 중순에 중국에서 시작되었으며, 20개 이상의 다른 회사들도 공격을 받았다고 밝혔다. 다른 소식통에 따르면 34개 이상의 조직이 공격 대상이었다.^[9] 구글은 중국 내 사업 재검토를 시사했고,^[2] 같은 날 미국 국무장관 힐러리 클린턴은 공격을 규탄하고 중국의 대응을 요구하는 짧은 성명을 발표했다.^[13] 어도비 시스템즈(Adobe Systems)도 이 공격에 대해 조사 중임을 공표했다.^[56]

2010년 1월 13일, 뉴스 통신사 올 헤드라인 뉴스(All Headline News)는 미국 의회가 중국 정부의 구글 서비스 이용을 통한 인권 운동가 감시 의혹에 대한 조사를 계획하고 있다고 보도했다.^[14]

베이징에서 방문객들이 구글 사무실 밖에 꽃을 놓았으나, 중국 경비원은 이를 "불법 헌화"라며 치웠다.^[15] 중국 정부는 공식 답변을 내놓지 않았지만, 익명의 관리는 중국이 구글의 의도에 대한 더 많은 정보를 찾고 있다고 밝혔다.^[16]

2. 2. 중국 정부의 반응과 국제사회의 우려

2010년 1월 12일, 구글은 자사 웹로그를 통해 사이버 공격을 받았다고 발표했다. 구글은 공격이 12월 중순에 중국에서 시작되었으며, 20개 이상의 다른 회사들도 공격을 받았다고 밝혔다. 다른 소식통에 따르면 34개 이상의 조직이 공격 대상이 되었다.^[9] 그 결과 구글은 중국 내 사업을 재검토하겠다고 밝혔다.^[2] 같은 날, 미국 국무장관 힐러리 클린턴은 공격을 규탄하고 중국의 대응을 요구하는 짧은 성명을 발표했다.^[13]

2010년 1월 13일, 뉴스 통신사 올 헤드라인 뉴스(All Headline News)는 미국 의회가 중국 정부가 인권 운동가들을 감시하기 위해 구글의 서비스를 이용했다는 구글의 주장에 대한 조사를 계획하고 있다고 보도했다.^[14]

베이징에서 방문객들은 구글 사무실 밖에 꽃을 놓았으나, 중국 경비원은 이것이 "불법 헌화"라며 치웠다.^[15] 중국 정부는 아직 공식적인 답변을 내놓지 않았지만, 익명의 관리는 중국이 구글의 의도에 대한 더 많은 정보를 찾고 있다고 밝혔다.^[16]

2010년 1월 21일, 힐러리 클린턴 미국 국무장관은 워싱턴 D.C.에서 연설하며, 구글의 서비스가 사이버 공격을 받은 문제에 대해 "중국 당국은 철저히 조사해야 한다"고 주장했다.^[62]

3. 공격 배후와 공격 분석

구글은 자사 웹로그 게시물에서 일부 지적 재산이 도난당했다고 밝혔다. 공격자들은 중국 반체제 인사의 Gmail 계정에 접근하는 데 관심이 있었던 것으로 보인다. ''파이낸셜 타임스''에 따르면, 아이 웨이웨이가 사용하던 두 개의 계정이 공격을 받아 내용이 읽히고 복사되었으며, 그의 은행 계좌는 "특정되지 않은 혐의"로 조사를 받고 있다고 주장하는 국가 보안 요원에 의해 조사받았다.^[20] 그러나 공격자들은 단 두 개의 계정 정보만 볼 수 있었고, 해당 정보는 제목 및 계정 생성 날짜 등으로 제한되었다.^[2]

3. 1. 공격 배후: Elderwood 그룹 (APT17)

IP 주소, 도메인 이름, 악성 코드 시그니처 등 기술적 증거는 Elderwood가 오로라 작전 공격의 배후임을 보여준다. 시만텍은 공격자가 사용한 소스 코드 변수 이름을 따서 "Elderwood" 그룹으로 명명했으며, Dell Secureworks에서는 "베이징 그룹"이라고 부른다. 이 그룹은 구글의 일부 소스 코드와 중국 활동가에 대한 정보에 접근했다.^[17] Elderwood는 해운, 항공, 무기, 에너지, 제조, 엔지니어링, 전자, 금융, 소프트웨어 등 여러 분야의 회사들을 표적으로 삼았다.^[1]^[18]

구글을 공격한 중국 위협 행위에 대한 "APT" 지정은 APT17이다.^[19]

Elderwood는 주요 방위 산업체에 전자 또는 기계 부품을 공급하는 2차 방위 산업 공급업체를 공격하고 침투하는 것을 전문으로 한다. 이들 회사는 주요 방위 계약업체에 접근하기 위한 사이버 "디딤돌"이 된다. Elderwood가 사용하는 공격 절차 중 하나는 대상 회사의 직원이 자주 방문하는 합법적인 웹사이트를 감염시키는 것이다. 이는 사자가 먹이를 위해 물웅덩이를 지키는 것과 같은 소위 "워터 홀" 공격이다. Elderwood는 이러한 덜 안전한 사이트에 해당 사이트에 접근하는 컴퓨터에 다운로드되는 악성 코드를 감염시킨다. 그 후, 이 그룹은 감염된 컴퓨터가 연결된 네트워크 내부를 검색하여 임원들의 이메일과 회사 계획, 결정, 인수 및 제품 설계에 대한 중요한 문서를 찾아 다운로드한다.^[1]

3. 2. 공격 방식: 워터 홀 공격과 제로 데이 공격

엘더우드(Elderwood)는 주요 방위 산업체에 부품을 공급하는 2차 공급업체를 공격하여, 이들을 통해 주요 방위 계약업체에 접근하는 방식을 사용했다. 이 중 하나는 대상 회사의 직원이 자주 방문하는 웹사이트를 감염시키는 "워터 홀" 공격이다. 엘더우드는 덜 안전한 사이트에 악성 코드를 심어, 사이트 접근 시 컴퓨터에 다운로드되도록 한다. 이후 감염된 컴퓨터 네트워크 내부를 검색하여 임원 이메일, 회사 계획, 인수 및 제품 설계 등 중요 문서를 찾아 다운로드한다.^[1]

공격자들은 제로 데이 취약점(대상 시스템 개발자에게 수정되지 않고 이전에 알려지지 않은 취약점)을 Internet Explorer에서 악용했으며, 해당 공격을 "오로라 작전"이라고 명명했다. 마이크로소프트는 해당 문제에 대한 수정 사항을 발표했으며,^[21] 9월부터 사용된 보안 결함을 알고 있었다고 인정했다.^[40] 구글이 소스 코드를 관리하는 데 사용한 소스 코드 개정 소프트웨어인 Perforce에서도 추가적인 취약점이 발견되었다.^[22]^[23]

인터넷 익스플로러(Internet Explorer)에 있던 취약점(CVE-2010-0249^[66]^[67])이 공략되어, 여러 종류의 백도어형 트로이 목마가 설치되었다. APT 공격으로 발전하여, Gmail 계정에 접근하고, 소스 코드의 버전 관리에 사용되던 Perforce도 공략되었다.^[63]^[68]

3. 3. 공격 분석과 기술적 세부 사항

보안 전문가들은 공격의 정교함을 즉시 지적했다.^[11] 공격이 공개된 지 이틀 후, McAfee는 공격자들이 Internet Explorer에서 제로 데이 취약점(대상 시스템 개발자에게 수정되지 않고 이전에 알려지지 않은 취약점)을 악용했으며, 해당 공격을 "오로라 작전"이라고 명명했다고 보고했다. McAfee의 보고서가 나온 지 일주일 후, 마이크로소프트는 해당 문제에 대한 수정 사항을 발표했으며,^[21] 9월부터 사용된 보안 결함을 알고 있었다고 인정했다.^[40] 구글이 소스 코드를 관리하는 데 사용한 소스 코드 개정 소프트웨어인 Perforce에서도 추가적인 취약점이 발견되었다.^[22]^[23]

VeriSign의 iDefense Labs는 공격이 "중국 정부의 대리인 또는 그 대리인"에 의해 자행되었다고 주장했다.^[24]

미국 외교 전문에 따르면, 베이징 주재 미국 대사관은 중국 소식통을 통해 중국 정치국이 구글의 컴퓨터 시스템 침입을 지시했다고 보고했다. 해당 전문은 공격이 "중국 정부가 모집한 정부 요원, 공공 보안 전문가 및 인터넷 불법 세력"에 의해 실행된 조정된 캠페인의 일부라고 밝혔다.^[25] 보고서는 공격자들이 "2002년부터 미국 정부와 서방 동맹국, 달라이 라마, 그리고 미국 기업의 컴퓨터에 침입"하는 지속적인 캠페인의 일부라고 시사했다.^[26] 가디언의 유출 보고에 따르면, 공격은 "자신의 이름을 검색 엔진의 글로벌 버전에 입력하고 자신을 비판하는 기사를 발견한 정치국의 고위 구성원"에 의해 조작되었다.^[27]

피해자의 시스템이 손상되면 SSL 연결로 위장한 백도어 연결이 일리노이, 텍사스 및 대만에서 운영되는 명령 및 제어 서버에 연결되었으며, 여기에는 도난당한 Rackspace 고객 계정을 사용하는 시스템도 포함되었다. 피해자의 컴퓨터는 다른 취약한 시스템과 지적 재산, 특히 소스 코드 저장소의 내용을 검색하면서, 속해 있는 보호된 기업 인트라넷을 탐색하기 시작했다.

공격은 2010년 1월 4일에 명령 및 제어 서버가 비활성화되면서 확실히 종료된 것으로 생각되었지만, 공격자가 의도적으로 비활성화했는지는 현재 알려져 있지 않다.^[28] 그러나 2010년 2월에도 공격은 여전히 발생하고 있었다.^[3] 구글(Google)에 대한 공격은 2009년 12월 15일에 시작된 것으로 보이나, 그 이전부터 시작되었다는 우려도 있다.

인터넷 익스플로러(Internet Explorer)에 있던 취약점(CVE-2010-0249^[66]^[67])이 공략되어, 여러 종류의 백도어형 트로이 목마가 설치되었다. APT 공격으로 발전하여, Gmail 계정에 접근하고, 소스 코드의 버전 관리에 사용되던 Perforce도 공략되었다.^[63]^[68] 2010년 1월 4일에 백도어의 통신 상대가 되는 C&C 서버가 종료되어 공격이 종료되었다.^[69]

4. 공격의 영향 및 대응

구글(Google)은 2010년 1월 12일, 이 공격이 자사뿐만 아니라 최소 20개의 다른 대기업을 표적으로 했으며, 인권 운동가들의 Gmail 계정에 접근하는 것이 주요 목적이었다는 증거가 있다고 발표하며 중국 시장 철수를 시사했다.^[52]^[55]^[53] 같은 날, 어도비 시스템즈(Adobe Systems)는 공격에 대한 조사를 시작했고,^[56] 힐러리 클린턴(Hillary Clinton) 미국 국무장관은 간결한 성명을 발표했다.^[57]

마이크로소프트(Microsoft)는 2010년 1월 14일, 당초 공개되지 않았던 인터넷 익스플로러(Internet Explorer)의 취약점(979352) 정보를 공개하며,^[58]^[59] 2009년 9월부터 이 취약점을 인지하고 있었다고 밝혔다.^[60] 이틀 뒤인 1월 16일, 맥아피(McAfee)는 공격에 인터넷 익스플로러 취약점 악용이 포함되었음을 발표했다.^[61]

힐러리 클린턴(Hillary Clinton) 미국 국무장관은 2010년 1월 21일 워싱턴 D.C. 연설에서 구글(Google) 서비스 사이버 공격에 대해 "중국 당국의 철저한 조사"를 촉구했다.^[62]

맥아피(McAfee)는 2010년 3월 3일, 공격 관련 백서를 통해 소스 코드 버전 관리 시스템 퍼포스(Perforce) 또한 공격 대상이었음을 밝혔다.^[63]

구글(Google)은 2010년 3월 22일, 중국 본토 검색 서비스에서 철수하고, 중국에서의 접속을 Google 홍콩 사이트로 전송하는 방침을 발표했다.^[64]^[65]

4. 1. 국제사회의 대응과 보안 강화

독일, 호주, 프랑스 정부는 오로라 작전 이후 인터넷 익스플로러 사용자들에게 경고를 발표하고, 보안 결함이 수정될 때까지 다른 브라우저를 사용할 것을 권고했다.^[29]^[30]^[31] 이들 정부는 모든 버전의 인터넷 익스플로러가 취약하거나 잠재적으로 취약하다고 판단했다.^[32]^[33]

2010년 1월 14일, 마이크로소프트는 구글 및 기타 미국 회사를 표적으로 한 공격자들이 인터넷 익스플로러의 결함을 악용하는 소프트웨어를 사용했다고 밝혔다. 이 취약점은 윈도우 7, 비스타, 윈도우 XP, 서버 2003, 서버 2008 R2의 인터넷 익스플로러 6, 7, 8 버전과 윈도우 2000 서비스 팩 4의 IE 6 서비스 팩 1에 영향을 미쳤다.^[34]

공격에 사용된 인터넷 익스플로러 익스플로잇 코드는 공개되어 메타스플로잇 프레임워크 침투 테스트 프로그램에 통합되었다. 맥아피의 최고 기술 책임자(CTO)인 조지 커츠는 "익스플로잇 코드의 공개는 인터넷 익스플로러 취약점을 이용한 광범위한 공격의 가능성을 높입니다."라고 경고했다.^[35]

보안 회사 웹센스는 악성 웹 사이트로 이동한 사용자에 대한 공격에서 패치되지 않은 IE 취약점의 "제한적인 공개 사용"을 확인했다.^[36] 웹센스에 따르면, 그들이 발견한 공격 코드는 지난 주에 공개된 익스플로잇과 동일하며, 맥아피의 CTO 조지 커츠는 "인터넷 익스플로러 사용자는 현재 취약점의 공개 및 공격 코드의 릴리스로 인해 실제적이고 현재적인 위험에 직면해 있으며, 광범위한 공격의 가능성이 높아지고 있습니다."라고 말했다.^[37] 웹센스 보안 연구소는 1월 19일에 익스플로잇을 사용하는 추가 사이트를 확인했고,^[38] 안랩의 보고에 따르면, 두 번째 URL은 한국에서 인기 있는 IM 클라이언트인 인스턴트 메신저 네트워크 미스리 메신저를 통해 확산되었다.^[38]

연구자들은 마이크로소프트가 권장하는 방어 조치(데이터 실행 방지)가 활성화된 경우에도 인터넷 익스플로러 7(IE7) 및 IE8의 취약점을 악용하는 공격 코드를 만들었다. 보안 취약점 연구원인 디노 다이 조비에 따르면, "최신 IE8조차도 윈도우 XP 서비스 팩 2(SP2) 이하 또는 윈도우 비스타 RTM(릴리스 투 매뉴팩처링), 즉 마이크로소프트가 2007년 1월에 출시한 버전에서는 공격으로부터 안전하지 않습니다."^[39]

마이크로소프트는 사용된 보안 결함이 9월부터 알려졌다는 것을 인정했다.^[40] 2010년 1월 21일, 마이크로소프트는 이 취약점 및 여러 다른 비공개로 보고된 취약점에 대응하기 위한 보안 패치를 발표했다.^[42]

보안 회사인 HBGary는 코드 개발자를 식별하는 데 도움이 될 수 있는 몇 가지 중요한 표식을 발견했다고 주장하는 보고서를 발표했다. 이 회사는 또한 코드가 중국어 기반이지만 특정 정부 기관과 특별히 연관될 수 없다고 밝혔다.^[43]

2010년 2월 19일, 구글에 대한 사이버 공격을 조사한 보안 전문가는 공격을 수행한 사람들이 지난 1년 반 동안 여러 포춘 100대 기업에 대한 사이버 공격의 배후라고 주장했다. 또한 이 공격의 기원을 추적했으며, 이는 중국의 두 학교인 상하이 자오퉁 대학교와 란샹 직업학교로 보이는 것으로 밝혀졌다.^[44] ''뉴욕 타임스''는 이 두 학교가 바이두(구글 차이나의 경쟁사)와 관련이 있다고 강조했다.^[45] 란샹 직업학교와 자오퉁 대학교는 모두 이 주장을 부인했다.^[46]^[47]

2010년 3월, 구글에 대한 공격 조사를 돕고 있던 시만텍은 전 세계적으로 전송된 모든 (120억 건) 악성 이메일의 21.3%가 사오싱에서 발생했음을 확인했다.^[48]

4. 2. 익스플로잇 코드 공개와 추가 위협

독일, 오스트레일리아, 프랑스 정부는 오로라 작전 공격 이후 인터넷 익스플로러 사용자들에게 경고를 발표하고, 보안 결함이 수정될 때까지 최소한 다른 브라우저를 사용할 것을 권고했다.^[29]^[30]^[31] 이들 정부는 모든 버전의 인터넷 익스플로러가 취약하거나 잠재적으로 취약하다고 판단했다.^[32]^[33]

2010년 1월 14일, 마이크로소프트는 구글 및 기타 미국 회사를 표적으로 한 공격자들이 인터넷 익스플로러의 결함을 악용하는 소프트웨어를 사용했다고 밝혔다. 이 취약점은 윈도우 7, 비스타, 윈도우 XP, 서버 2003, 서버 2008 R2의 인터넷 익스플로러 6, 7, 8 버전과 윈도우 2000 서비스 팩 4의 IE 6 서비스 팩 1에 영향을 미쳤다.^[34]

공격에 사용된 인터넷 익스플로러 익스플로잇 코드는 공개되어 메타스플로잇 프레임워크 침투 테스트 프로그램에 통합되었다. 맥아피의 최고 기술 책임자(CTO)인 조지 커츠는 "익스플로잇 코드의 공개는 인터넷 익스플로러 취약점을 이용한 광범위한 공격의 가능성을 높입니다."라고 말했다.^[35]

보안 회사 웹센스는 악성 웹 사이트로 이동한 사용자에 대한 공격에서 패치되지 않은 IE 취약점의 "제한적인 공개 사용"을 확인했다.^[36] 웹센스에 따르면, 그들이 발견한 공격 코드는 지난 주에 공개된 익스플로잇과 동일하다. 조지 커츠는 "인터넷 익스플로러 사용자는 현재 취약점의 공개 및 공격 코드의 릴리스로 인해 실제적이고 현재적인 위험에 직면해 있으며, 광범위한 공격의 가능성이 높아지고 있습니다."라고 말했다.^[37] 웹센스 보안 연구소는 1월 19일에 익스플로잇을 사용하는 추가 사이트를 확인했다.^[38] 안랩의 보고에 따르면, 두 번째 URL은 한국에서 인기 있는 IM 클라이언트인 인스턴트 메신저 네트워크 미스리 메신저를 통해 확산되었다.^[38]

연구자들은 마이크로소프트가 권장하는 방어 조치인 데이터 실행 방지(DEP)가 활성화된 경우에도 인터넷 익스플로러 7(IE7) 및 IE8의 취약점을 악용하는 공격 코드를 만들었다. 보안 취약점 연구원인 디노 다이 조비에 따르면, "최신 IE8조차도 윈도우 XP 서비스 팩 2(SP2) 이하 또는 윈도우 비스타 RTM(릴리스 투 매뉴팩처링), 즉 마이크로소프트가 2007년 1월에 출시한 버전에서는 공격으로부터 안전하지 않습니다."^[39]

마이크로소프트는 사용된 보안 결함이 9월부터 알려졌다는 것을 인정했다.^[40] 2010년 1월 21일, 마이크로소프트는 이 취약점, 이를 기반으로 공개된 익스플로잇 및 여러 다른 비공개로 보고된 취약점에 대응하기 위한 보안 패치를 발표했다.^[42]

보안 연구자들은 공격에 대한 조사를 계속했다. 보안 회사인 HBGary는 코드 개발자를 식별하는 데 도움이 될 수 있는 몇 가지 중요한 표식을 발견했다고 주장하는 보고서를 발표했다. 이 회사는 또한 코드가 중국어 기반이지만 특정 정부 기관과 특별히 연관될 수 없다고 밝혔다.^[43]

2010년 2월 19일, 구글에 대한 사이버 공격을 조사한 보안 전문가는 공격을 수행한 사람들이 지난 1년 반 동안 여러 포춘 100대 기업에 대한 사이버 공격의 배후라고 주장했다. 또한 이 공격의 기원을 추적했으며, 이는 중국의 두 학교인 상하이 자오퉁 대학교와 란샹 직업학교로 보이는 것으로 밝혀졌다.^[44] ''뉴욕 타임스''는 이 두 학교가 바이두, 즉 구글 차이나의 경쟁사와 관련이 있다고 강조했다.^[45] 란샹 직업학교와 자오퉁 대학교는 모두 이 주장을 부인했다.^[46]^[47]

2010년 3월, 구글에 대한 공격 조사를 돕고 있던 시만텍은 전 세계적으로 전송된 모든 (120억 건) 악성 이메일의 21.3%가 사오싱에서 발생했음을 확인했다.^[48]

4. 3. 공격의 지속성과 배후 추적

구글은 자사 웹로그 게시물에서 자사의 일부 지적 재산이 도난당했다고 밝혔다. 공격자들이 중국 반체제 인사의 Gmail 계정에 접근하는 데 관심이 있었을 것이라고 밝혔다. ''파이낸셜 타임스''에 따르면, 아이 웨이웨이가 사용하던 두 개의 계정이 공격을 받아 내용이 읽히고 복사되었으며, 그의 은행 계좌는 "특정되지 않은 혐의"로 조사를 받고 있다고 주장하는 국가 보안 요원에 의해 조사받았다.^[20] 그러나 공격자들은 단 두 개의 계정의 세부 정보만 볼 수 있었고, 해당 정보는 제목 및 계정 생성 날짜와 같은 정보로 제한되었다.^[2]

보안 전문가들은 즉시 공격의 정교함을 지적했다.^[11] 공격이 공개된 지 이틀 후, McAfee는 공격자들이 제로 데이 취약점(대상 시스템 개발자에게 수정되지 않고 이전에 알려지지 않은 취약점)을 Internet Explorer에서 악용했으며, 해당 공격을 "오로라 작전"이라고 명명했다고 보고했다. McAfee의 보고서가 나온 지 일주일 후, 마이크로소프트는 해당 문제에 대한 수정 사항을 발표했으며,^[21] 9월부터 사용된 보안 결함을 알고 있었다고 인정했다.^[40] 구글이 소스 코드를 관리하는 데 사용한 소스 코드 개정 소프트웨어인 Perforce에서도 추가적인 취약점이 발견되었다.^[22]^[23]

VeriSign의 iDefense Labs는 공격이 "중국 정부의 대리인 또는 그 대리인"에 의해 자행되었다고 주장했다.^[24]

미국 외교 전문에 따르면, 베이징 주재 미국 대사관은 중국 소식통을 통해 중국 정치국이 구글의 컴퓨터 시스템 침입을 지시했다고 보고했다. 해당 전문은 공격이 "중국 정부가 모집한 정부 요원, 공공 보안 전문가 및 인터넷 불법 세력"에 의해 실행된 조정된 캠페인의 일부라고 밝혔다.^[25] 보고서는 공격자들이 "2002년부터 미국 정부와 서방 동맹국, 달라이 라마, 그리고 미국 기업의 컴퓨터에 침입"하는 지속적인 캠페인의 일부라고 시사했다.^[26] 가디언의 유출 보고에 따르면, 공격은 "자신의 이름을 검색 엔진의 글로벌 버전에 입력하고 자신을 비판하는 기사를 발견한 정치국의 고위 구성원"에 의해 조작되었다.^[27]

피해자의 시스템이 손상되면 SSL 연결로 위장한 백도어 연결이 일리노이, 텍사스 및 대만에서 운영되는 명령 및 제어 서버에 연결되었으며, 여기에는 도난당한 Rackspace 고객 계정을 사용하는 시스템도 포함되었다. 피해자의 컴퓨터는 다른 취약한 시스템과 지적 재산, 특히 소스 코드 저장소의 내용을 검색하면서, 속해 있는 보호된 기업 인트라넷을 탐색하기 시작했다.

공격은 1월 4일에 명령 및 제어 서버가 비활성화되면서 확실히 종료된 것으로 생각되었지만, 공격자가 의도적으로 비활성화했는지는 현재 알려져 있지 않다.^[28] 그러나 2010년 2월에도 공격은 여전히 발생하고 있었다.^[3]

4. 4. 구글의 회고

2022년 10월 3일, 구글은 유튜브를 통해 "오로라 작전" 당시 발생한 사건들을 다룬 6부작 시리즈^[49]를 공개했다. 이 시리즈는 공격을 처리했던 내부 관계자들의 해설을 담고 있으며, 해킹 시도에 대응하기 위한 조치가 마련되어 있다는 점을 구글 사용자들에게 안심시키는 데 중점을 두었다.

참조

_[1] 웹사이트 Stealing US business secrets: Experts ID two huge cyber 'gangs' in China http://www.csmonitor[...] 2012-09-14
_[2] 웹사이트 A new approach to China http://googleblog.bl[...] Google Inc. 2010-01-12
_[3] 뉴스 'Aurora' Attacks Still Under Way, Investigators Closing In On Malware Creators http://www.darkreadi[...] DarkReading.com 2010-02-10
_[4] 웹사이트 Adobe Investigates Corporate Network Security Issue http://blogs.adobe.c[...] 2010-01-12
_[5] 뉴스 9 Years After: From Operation Aurora to Zero Trust https://www.darkread[...] DarkReading.com 2019-02-20
_[6] 웹사이트 Juniper Networks investigating cyber-attacks http://www.marketwat[...] MarketWatch 2010-01-15
_[7] 웹사이트 Rackspace Response to Cyber Attacks http://www.rackspace[...]
_[8] 웹사이트 HBGary email leak claims Morgan Stanley was hacked http://www.theinquir[...]
_[9] 뉴스 Google China cyberattack part of vast espionage campaign, experts say https://www.washingt[...] 2010-01-14
_[10] 뉴스 Chinese media hit at 'White House's Google' http://www.ft.com/cm[...] 2010-01-20
_[11] 웹사이트 Operation "Aurora" Hit Google, Others http://blogs.mcafee.[...] McAfee, Inc. 2010-01-14
_[12] 잡지 'Google' Hackers Had Ability to Alter Source Code https://www.wired.co[...] 2010-03-03
_[13] 웹사이트 Statement on Google Operations in China https://www.state.go[...] US Department of State 2010-01-12
_[14] 웹사이트 Congress to Investigate Google Charges Of Chinese Internet Spying http://www.allheadli[...] All Headline News 2010-01-13
_[15] 잡지 China and Google: "Illegal Flower Tribute" https://www.newyorke[...] 2010-01-14
_[16] 뉴스 Chinese govt seeks information on Google intentions http://www.chinadail[...] 2010-01-13
_[17] 웹사이트 Chinese hackers who breached Google gained access to sensitive data, U.S. officials say https://www.washingt[...]
_[18] 웹사이트 Hackers Linked to China's Army Seen From EU to D.C. https://www.bloomber[...] Bloomberg L.P.|Bloomberg 2012-07-26
_[19] 웹사이트 APT-doxing group exposes APT17 as Jinan bureau of China's Security Ministry https://www.zdnet.co[...]
_[20] 뉴스 The Chinese dissident's 'unknown visitors' http://www.ft.com/cm[...] 2010-01-15
_[21] 웹사이트 Microsoft Security Advisory (979352) http://www.microsoft[...] Microsoft 2010-01-21
_[22] 웹사이트 Protecting Your Critical Assets, Lessons Learned from "Operation Aurora", By McAfee Labs and McAfee Foundstone Professional Services https://www.wired.co[...]
_[23] 잡지 'Google' Hackers Had Ability to Alter Source Code https://www.wired.co[...]
_[24] 웹사이트 Researchers identify command servers behind Google attack https://arstechnica.[...] Ars Technica 2010-01-14
_[25] 뉴스 Cables Obtained by WikiLeaks Shine Light Into Secret Diplomatic Channels https://www.nytimes.[...] 2010-11-28
_[26] 뉴스 Leaked Cables Offer Raw Look at U.S. Diplomacy https://www.nytimes.[...] 2010-11-28
_[27] 뉴스 US embassy cables leak sparks global diplomatic crisis https://www.theguard[...] The Guardian 2010-11-28
_[28] 잡지 Google Hack Attack Was Ultra Sophisticated, New Details Show https://www.wired.co[...] 2010-01-14
_[29] 뉴스 France, Germany warn Internet Explorer users http://tvnz.co.nz/te[...] TVNZ 2010-01-19
_[30] 뉴스 Why you should change your internet browser and how to choose the best one for you https://www.independ[...] 2010-01-18
_[31] 뉴스 Govt issues IE security warning http://www.abc.net.a[...] ABC (Australia) 2010-01-19
_[32] 뉴스 France, Germany warn against Internet Explorer http://www.nzherald.[...] 2010-01-19
_[33] 뉴스 Germany warns against using Microsoft Internet Explorer https://www.telegrap[...] 2010-01-18
_[34] 뉴스 New IE hole exploited in attacks on U.S. firms http://news.cnet.com[...] CNET 2010-01-14
_[35] 뉴스 Internet Explorer zero-day code goes public http://www.infosecur[...] Infosecurity 2010-01-18
_[36] 웹사이트 Security Labs – Security News and Views – Raytheon – Forcepoint http://securitylabs.[...] 2016-07-27
_[37] 웹사이트 Hackers wield newest IE exploit in drive-by attacks https://web.archive.[...] 2010-01-19
_[38] 웹사이트 Security Labs – Security News and Views – Raytheon – Forcepoint http://securitylabs.[...] 2016-07-27
_[39] 뉴스 Researchers up ante, create exploits for IE7, IE8 http://www.computerw[...] Computerworld 2010-01-22
_[40] 뉴스 Microsoft knew of IE zero-day flaw since last September https://www.zdnet.co[...] ZDNet 2010-01-21
_[41] 웹사이트 Security – ZDNet https://web.archive.[...] 2016-07-27
_[42] 웹사이트 Microsoft Security Bulletin MS10-002 – Critical http://www.microsoft[...] 2016-07-27
_[43] 뉴스 Hunting Down the Aurora Creator http://www.thenewnew[...] TheNewNewInternet 2010-02-13
_[44] 뉴스 2 China Schools Said to Be Tied to Online Attacks https://www.nytimes.[...] 2010-03-26
_[45] 뉴스 Google Aurora Attack Originated From Chinese Schools https://www.itpropor[...] itproportal 2010-02-19
_[46] 뉴스 Chefs Who Spy? Tracking Google's Hackers in China https://www.wsj.com/[...] 2017-08-08
_[47] 웹사이트 Jiao Tong University - 【Shanghai Daily】Cyber expert slams "spy" report https://web.archive.[...] 2013-06-26
_[48] 뉴스 Chinese City Is World's Hacker Hub London Sunday Times 2010-03-28
_[49] Youtube HACKING GOOGLE - YouTube https://www.youtube.[...] 2022-10-03
_[50] 뉴스 Googleに対する標的型攻撃 https://www.itmedia.[...] ITmedia 2010-01-14
_[51] 웹사이트 Stealing US business secrets: Experts ID two huge cyber 'gangs' in China http://www.csmonitor[...] CSMonitor 2012-09-14
_[52] 웹사이트 A new approach to China https://googleblog.b[...] Google 2010-01-12
_[53] 뉴스 Googleが中国からの撤退示唆、「検閲をこれ以上容認できない」 https://internet.wat[...] INTERNET Watch 2010-01-13
_[54] 뉴스 中国発のサイバー攻撃は「重大なターニングポイント」--マカフィー幹部が言及 http://japan.zdnet.c[...] ITmedia 2010-01-17
_[55] 서적 見えない世界戦争新潮社
_[56] 웹사이트 Adobe Investigates Corporate Network Security Issue http://blogs.adobe.c[...] 2010-01-12
_[57] 웹사이트 Statement on Google Operations in China http://www.state.gov[...] U.S. Department of State 2010-01-12
_[58] 웹사이트 Security Advisory 979352 Released http://blogs.technet[...] Microsoft 2010-01-14
_[59] 웹사이트 マイクロソフトセキュリティアドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される https://support.micr[...] Microsoft 2010-01-27
_[60] 뉴스 Microsoft knew of IE zero-day flaw since last September http://www.zdnet.com[...] ZD Net 2010-01-21
_[61] 웹사이트 McAfee Labs Security Advisory: MTIS10-012 https://community.mc[...] McAfee 2010-01-12
_[62] 뉴스 クリントン米国務長官、中国のインターネット検閲を批判 https://xtech.nikkei[...] ITpro 2010-01-22
_[63] 웹사이트 Protecting Your Critical Assets, Lessons Learned from "Operation Aurora" http://www.wired.com[...] McAfee 2010-03-03
_[64] 웹사이트 A new approach to China: an update https://googleblog.b[...] Google 2010-03-22
_[65] 웹사이트 米グーグル，中国市場からの“撤退”を表明 https://www.nhk.or.j[...] NHK放送文化研究所 2010-05
_[66] 웹사이트 CVE-2010-0249 http://cve.mitre.org[...] MITRE
_[67] 웹사이트 JVNVU#492515 Microsoft Internet Explorer において任意のコードが実行される脆弱性 http://jvn.jp/vu/JVN[...] JVN 2010-01-15
_[68] 웹사이트 GOOGLE' HACKERS HAD ABILITY TO ALTER SOURCE CODE http://www.wired.com[...] WIRED 2010-03-03
_[69] 웹사이트 GOOGLE HACK ATTACK WAS ULTRA SOPHISTICATED, NEW DETAILS SHOW http://www.wired.com[...] WIRED 2010-01-14