“中 해커조직, 전 세계 2000여 시스템 침투…한국도 457대 감염”

안랩 제공

안랩과 국가사이버안보센터(NCSC)가 중국과 연관된 것으로 추정되는 APT(지능형 지속 위협) 조직 ‘TA-ShadowCricket’의 사이버 공격 활동을 공동 분석한 보고서를 23일 발표했다.

‘TA-ShadowCricket’은 2012년부터 활동을 시작한 것으로 추정되며, 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 MS-SQL 데이터베이스 접속을 악용해 침투한 후, 장기간 시스템을 은밀하게 통제해온 것이 특징이다. 안랩과 NCSC는 실제 이들이 운영한 C&C(Command & Control) 서버를 확보해 분석한 결과, 전 세계적으로 2000대 이상의 시스템이 감염됐고, 이 중 457대는 한국에 있는 것으로 확인됐다.

이 조직은 일반적인 해킹과 달리 금전 요구나 정보 유출 없이, 감염된 시스템에 백도어 악성코드를 심어 장기간 통제 상태를 유지했다. 백도어는 정상 실행파일 내부에 삽입돼 탐지를 어렵게 했으며, 감염된 시스템은 언제든지 분산 서비스 거부(DDoS) 공격이나 추가 침해에 악용될 수 있는 상태였다.

피해 예방을 위해 사용자들은 윈도우 운영체제 및 MS-SQL 서버, RDP 기능 등을 최신 상태로 유지하고, 비밀번호를 복잡하게 설정하며 다단계 인증(MFA)을 적용하는 등의 기본 보안 수칙을 반드시 지켜야 한다.

이명수 안랩 ASEC A-FIRST팀 팀장은 “이번 공격 그룹은 수천 개 시스템을 오랜 기간 조용히 통제해 온 보기 드문 사례”며 “악성코드 제거와 C&C 서버 무력화 같은 선제적인 대응이 무엇보다 중요하다”고 말했다.

- Copyright ⓒ 조선비즈 & Chosun.com -