중국 해킹, ‘신뢰’ 파고들었다…보안 프로그램까지 무력화

실버폭스·머스탱판다, 정상 소프트웨어 위장 공격 확산
EDR도 뚫는 정교한 침투…“출처 불분명한 설치 경계해야”

챗GPT가 그린 이미지

중국발 해킹 위협이 한층 정교해지면서, 국내 기업과 기관은 물론 일반 사용자까지 ‘신뢰하던 프로그램’에 대한 경계심을 늦춰선 안 된다는 지적이 나온다. 정상 소프트웨어를 가장해 보안망을 무력화하는 공격이 확산하면서 사실상 기존 방어체계의 전제 자체가 흔들리고 있기 때문이다.

2일 보안업계에 따르면 중국 배후 해킹조직으로 알려진 실버 폭스와 머스탱 판다는 최근 공격 방식을 ‘침투’에서 ‘위장’ 중심으로 전환했다. 과거처럼 단순 악성코드를 심는 수준이 아니라, 사용자가 스스로 설치하도록 유도하는 방식으로 진화했다는 것이다.

특히 실버 폭스는 세무조사 안내, 재무 프로그램 업데이트 등을 사칭한 이메일을 뿌리고, 검색 결과 상단에 악성 페이지를 노출시키는 ‘검색엔진 악용(SEO 포이즈닝)’ 기법을 적극 활용하고 있다. 겉으로는 정상 사이트처럼 보이기 때문에 이용자가 의심 없이 접속할 가능성이 높다. 여기에 메신저나 보안 앱까지 정교하게 모방해 사용자 스스로 악성코드를 내려받게 만드는 사례도 늘고 있다.

문제는 이런 공격이 기존 보안 솔루션을 정면으로 무력화하고 있다는 점이다. 실버 폭스는 합법적인 전자서명이 있는 구형 드라이버를 악용해 보안 프로그램을 강제로 종료시키는 수법을 사용한다. 정상 프로그램으로 인식되기 때문에 탐지가 쉽지 않다. 기업들이 도입한 EDR(엔드포인트 위협 탐지·대응) 체계마저 무력화될 수 있다는 우려가 나오는 이유다.

머스탱 판다 역시 공격 수위를 끌어올렸다. 단순 정보 탈취를 넘어 사용자의 활동을 실시간으로 들여다보는 ‘능동형 감시’ 단계로 진입했다. 키보드 입력을 기록하고, 클립보드와 브라우저 쿠키를 빼내 클라우드로 유출하는 방식이다. 이는 단순 해킹을 넘어 사실상 사이버 첩보 활동에 가깝다는 평가다.

보안 전문가들은 이들 공격의 핵심을 “신뢰를 파고드는 전략”으로 본다. 정상 원격관리 도구(RMM)나 인증된 드라이버까지 악용되는 상황에서는 기존의 파일 검사 중심 보안만으로는 대응이 어렵기 때문이다.

결국 대응의 초점도 바뀌어야 한다는 지적이다. 단순 백신 설치를 넘어 ▷취약 드라이버 차단 ▷비인가 클라우드 전송 감시 ▷내부 접근 권한 통제 등 다층 방어 체계를 구축해야 한다는 것이다.

무엇보다 사용자 인식 변화가 중요하다는 목소리가 크다. 보안업계 관계자는 “중국 해킹그룹의 공격은 대상 국가의 업무 환경까지 분석한 뒤 이뤄진다”며 “출처가 불분명한 프로그램이나 업데이트는 물론, 익숙한 앱이라도 설치 경로를 반드시 확인해야 한다”고 강조했다.

중국발 사이버 위협이 ‘기술’이 아니라 ‘신뢰’를 겨냥하는 단계로 진화한 만큼, 기업과 개인 모두 경계의 기준을 한 단계 끌어올려야 할 시점이다.

맹준호 기자 next@dt.co.kr