“마음 먹으면 韓사회 마비시킬 수도”…곳곳에 숨은 중국인들의 목적은

안랩·국가사이버안보센터(NCSC)
지능형 지속 공격(APT) 추적 보고서

APT(지능형 지속 공격) 그룹의 해킹 공격이 날로 지능화되고 교묘해지고 있다. 사진은 해커 모습을 형상화한 그림 <출처=미드저니>

국내 최대 이동통신회사 SK텔레콤에 대한 대규모 해킹 사건이 발생한 지 한 달이 지났다. 겹겹이이 쌓여있는 이 회사 서버 망을 뚫고 2500만명에 달하는 고객의 유심 정보를 탈취한 배후에 대해 업계 관심이 집중되고 있다. 2022년 최초 악성코드가 설치된 시점부터 약 3년간 아무런 움직임을 보이지 않다가 최근에서야 정보 유출 기류가 감지됐기 때문이다. 단순히 돈을 목적으로 한 해킹이 아닐 수 있다는 전문가 진단이 이어지고 있는 가운데 현장에선 ‘중국 소행설’ ‘북한 연루설’ 등 각종 낭설이 혼재한 분위기다.

이런 가운데 안랩 ASEC와 국가사이버안보센터(NCSC)가 최근 중국과 연관된 것으로 추정되는 APT(지능형 지속 공격) 그룹 ‘TA-ShadowCricket’(티에이 섀도우크리켓)의 의 최근 사이버 공격 활동을 추적·분석한 보고서를 발표해 눈길을 끌고 있다.

10여 년 전부터 활동을 시작한 것으로 추정되는 ‘TA-ShadowCricket’은 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다. 특히 이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직으로 분류된다. 이번 보고서에는 안랩과 NCSC가 2023년부터 최근까지 ‘TA-ShadowCricket’의 활동을 공동으로 추적한 결과가 담겨 있다.

안랩과 NCSC가 중국계 APT 그룹 ‘TA-ShadowCricket’ 관련 합동 추적 보고서를 공개했다. 안랩은 이 해킹그룹의 모습을 ‘Cricket’ (귀뚜라미)를 형상화 했다. <출처=안랩 ASEC 공식 사이트>

‘어둠의 그림자’ 그들은 누구인가

보고서에 따르면 ‘TA-ShadowCricket’은 기존에 ‘Shadow Force’로 불리던 공격 그룹으로 중국과 관련된 것으로 추정된다. 2012년부터 한국을 포함한 아시아 태평양 지역 국가에서 활동해오고 있으며, 주로 외부에 노출된 윈도우 서버의 원격 접속 기능이나 MS SQL(마이크로소프트에서 제공하는 데이터베이스 관리 시스템) 서버를 침투해 전 세계 2000대 이상의 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다.

‘TA-ShadowCricket’ 공격 그룹 명명. <출처=안랩-NCSC 합동 보고서>

한국-인도-베트남 등 아시아 타깃

안랩과 NCSC 분석 결과 현재까지도 이 그룹은 동일한 도메인 이름의 악성 IRC (인터넷 중계 채팅) 서버를 운영하고 있으며, 해당 도메인에는 현재 한국 인터넷주소(IP)가 연결돼 있다. 이 과정에서 안랩과 NCSC는 전 세계 72 개국 2000여 대의 피해 IP를 확인했다. 여기엔 IP 기준 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등이 포함됐다.

보고서는 “2020년 7월부터 2025년 2월까지 RDP(다른 컴퓨터에 원격으로 접속할 수 있도록 해주는 윈도우 기능)로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다”고 밝혔다.

보안 전문가들은 APT 그룹의 해킹 목적이 금전적 이득이 최우선이 아닐 수 있다고 경고한다. 특정 기업 및 기관의 내부 시스템에 침투해 장기간 은닉하다가 적절한 시기에 모습을 드러내며 사회적인 혼란을 야기하는 사례가 나타나고 있기 때문이다. <출처=미드저니>

잠복 해킹의 목적은...방해공작?

눈여겨볼 대목은 해킹의 목적이다. ‘TA-ShadowCricket’은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔히 나타나는 행위 없이, 침투 후 오랜 기간 들키지 않은 채 시스템을 조용히 장악한 상태를 유지하는 방식으로 활동해 왔다는 것이다.

보고서는 “훔친 정보를 다크웹에도 공개하지 않으며 13년 넘게 조용히 활동하고 있다”면서 “특히 감염 시스템 제어를 위한 C2 서버(C&C서버, 공격자가 악성코드를 원격으로 조종하기 위해 사용하는 서버) 및 수천 개 IP의 피해 시스템을 현재까지 지속적으로 관리하고 있는데, 이는 추후 디도스와 같은 공격을 위한 인프라 확보로 볼 수도 있다”고 진단했다.

그러면서 “사용되는 도구 및 제작자, 주요 피해 지역, 중국 IP에서 C2 서버 관리 목적으로 접속 등 여러 정황들로 보아 중국과 관련성은 있어 보인다”면서도 “다만 악성코드 나 나자신의 닉네임(이름)을 남긴 다던가, 최근 마이너(암호화폐 채굴기)를 설치하는 등의 정황은 국가 차원의 지원은 받는 APT 그룹으로 보기에는 의문을 갖게 한다”고 말했다.

2020년 7월부터 2025년 2월까지 RDP로 접속해 시스템을 제어했으며, 이 중 일부는 중국 소재 IP에서 접속한 것으로 확인됐다. <출처=안랩-NCSC 합동 보고서>

이와 관련해 보안 업계 전문가들은 APT의 해킹 목적이 금전 목적을 넘어 명확한 전략적 목표를 갖고 있다는 데 주목해야 한다고 입을 모은다. APT 대부분이 특정 국가의 후원을 받는 조직이라는 점에서 해킹을 통해 정보전이나 산업 스파이, 사이버 전쟁 등을 수행하는 목적이 많다는 분석이다.

업계 한 보안 전문가는 “APT는 특정 정보를 빼내 이를 값어치 있게 활용하려는 목적도 있지만 최근 들어선 시스템 곳곳에 조용히 뿌리박은 채 특정 시기와 상황에 맞춰 공격 양상을 외부로 드러내며 사회적 불안감을 조성하고 자신들의 영향력을 행사라는 경우가 두드러지고 있다”고 전했다.

시스템에 수년간 숨어 감시하고, 필요한 시점에 치명적인 공격을 수행한다는 얘기다.

TA-ShadowCricket의 일부 악성코드와 도구에는 제작자와 관련된 것으로 보이는 키워드인 ‘Melody’, ‘Syrinx’, ‘WinEggDrop’이 포함돼 있다. 트렌드마이크로 보고서에 따르면 WinEggDrop은 1982년 10월 중국 광둥성 광저우시 출신 인물로 추정된다. <출처=안랩-NCSC 합동 보고서>

마음만 먹으면 시스템 통제까지

이번 보고서를 보면 ‘TA-ShadowCricket’ 공격 그룹은 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 대상으로, 포트 정보를 탐색한 뒤 비밀번호를 무작위로 시도하는 방식(브루트포스 공격)으로 침투한다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 백도어 악성코드를 설치하고, 이를 정상 실행파일(EXE 파일) 내부에 몰래 삽입해 사용자가 의심 없이 실행하도록 만든다.

백도어 악성코드는 공격자의 C2 서버와 연결돼 있으며, 공격자가 직접 다시 접속하지 않아도 감염된 시스템에서 명령 자동 수행, 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하다.

안랩과 NCSC가 ‘TA-ShadowCricket’이 실제로 운영하던 C2 서버를 확보해 추적한 결과 ‘TA-ShadowCricket’의 C2 서버에는 2000개 이상의 피해 시스템이 연결돼 있었으며, 이 중에는 실제로 운영 중인 중요한 시스템도 포함돼 있었다. 공격자는 이 시스템들을 자신이 만든 봇넷(감염된 컴퓨터 네트워크)의 일부로 삼아, 필요 시 언제든지 분산 서비스 거부(디도스) 공격이나 추가 침해에 활용할 수 있는 상태로 유지하고 있는 것으로 나타났다.

이번 분석을 주도한 안랩 ASEC A-FIRST팀 이명수 팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C2 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C2 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.