안랩-국정원, 합동보고서 발표…“中연관 해커그룹, 전 세계 시스템 은밀히 통제” 작성일 05-23 105 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="fe3VXm7vwt"> <figure class="figure_frm origin_fig" contents-hash="d720529f3c144351b1fe220fbaa53db295a5958e6a5007d0c0d59abc73c90fe2" dmcf-pid="4d0fZszTr1" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ게티이미지뱅크" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/23/etimesi/20250523143705773whqo.jpg" data-org-width="700" dmcf-mid="Pjb5uy41Ig" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/23/etimesi/20250523143705773whqo.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ게티이미지뱅크 </figcaption> </figure> <p contents-hash="aeb17f189a0fe28ee5f6125bc08234c9e2589eda15cca6d3f916fbcf7d34eb97" dmcf-pid="8Jp45Oqyr5" dmcf-ptype="general">중국과 연관된 것으로 추정되는 지능형지속위협(APT) 그룹이 전 세계 2000대 이상의 감염된 시스템을 10년 이상 조용히 통제했다는 보고서가 나왔다. 특히 이 가운데 국내 시스템은 400여대에 달하는 것으로 확인됐다.</p> <p contents-hash="138aa9f53ee9b47ea1d82bd94b33c2b5f59e8146e9cd8861e7c7730b58e54550" dmcf-pid="6iU81IBWmZ" dmcf-ptype="general">안랩과 국가정보원 국가사이버안보센터(NCSC)는 23일 이같은 내용을 담은 '티에이 섀도우크리켓'의 사이버 공격 활동을 공동으로 추적 분석한 보고서를 발표했다.</p> <p contents-hash="c8751946dfe95c20c1721db073ba9627218926bdfc713d4e70a60c0c45a2c31f" dmcf-pid="Pnu6tCbYrX" dmcf-ptype="general">티에이 섀도우크리켓은 금전 요구나 다크웹에 정보를 게시하는 등 일반적인 해킹 방식과는 달리 시스템에 몰래 침투한 뒤 오랜 시간 들키지 않고 조용히 장악한 상태를 유지하는 것이 특징이다.</p> <p contents-hash="92e0bfd85d865ca53d07693c19832a4167ca366d76bb251af72ab3d6ce341fed" dmcf-pid="QL7PFhKGOH" dmcf-ptype="general">이 그룹은 외부에 노출된 윈도 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 포트 정보를 탐색한 뒤 비밀번호를 무작위로 시도하는 방식(Brute-force, 브루트포스 공격)으로 침투한다.</p> <p contents-hash="366b77a08ca3ea86230c098248c94a16df9dc5d31baa038ee7423648b58790b5" dmcf-pid="xCRc80nbsG" dmcf-ptype="general">침입에 성공하면, 시스템을 원격에서 조종할 수 있는 백도어 악성코드를 설치하고, 이를 정상적인 실행파일(EXE 파일) 내부에 숨겨 사용자가 의심 없이 실행하도록 만든다. 이 백도어는 공격자의 명령·제어(C&C) 서버와 연결돼 있어, 공격자가 다시 접속하지 않아도 자동으로 명령을 수행하거나 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하다.</p> <p contents-hash="0678a5dba87030d47df2656d5d6bc863f84d58161cc98fb257a4443c8ebd4c24" dmcf-pid="yfYulN5rwY" dmcf-ptype="general">안랩과 NCSC는 실제로 티에이 섀도우크리켓이 운영하던 C&C 서버를 확보해 분석한 결과, 이 서버에는 2000개 이상의 피해 시스템이 연결돼 있었으며, 이 중에는 실제 업무에 사용되는 중요 시스템도 포함돼 있었다. 공격자는 이 시스템들을 자신이 만든 봇넷(botnet, 감염된 컴퓨터 네트워크)의 일부로 삼아, 필요 시 언제든지 분산 서비스 거부(DDoS) 공격이나 추가 침해에 활용할 수 있는 상태로 유지하고 있는 것으로 조사됐다.</p> <p contents-hash="58a5ad1c81ae3e692115df82b2c36a75d74361166367d6b596ca884ad4de6828" dmcf-pid="W4G7Sj1mIW" dmcf-ptype="general">국가별로는 아이피(IP) 기준 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등이었다.</p> <p contents-hash="2aad577ac524e73a0644da571d32236a8f1a241847640a4f2c27236e3327c667" dmcf-pid="Y8HzvAtsry" dmcf-ptype="general">피해 예방을 위해 사용자는 윈도 운용체계 등을 최신 상태로 업데이트하고, 외부에서 접근 가능한 설정이 열려 있는지 점검해야 했다. 또 비밀번호는 복잡하게 설정하고, 가능한 경우 다중인증(MFA)을 적용해야 한다.</p> <p contents-hash="7173586dcda2948467bbaaa4ebfa833ab1ed1d3396e478dfca9a76aa12105460" dmcf-pid="G6XqTcFOET" dmcf-ptype="general">이명수 안랩 ASEC A-FIRST팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&C 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례“라며 ”이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.</p> <p contents-hash="4dee6eb7b1ae95b9ec80166ca14c648ea207a1c5c200162c8e344e9a41f41aab" dmcf-pid="HPZByk3Iwv" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 보컬 코치 노영주 “조세호 조째즈 내 제자, 음악에 진심이더라”(컬투쇼) 05-23 다음 [PlayX4] AI로 기술력 업그레이드한 유비스. 더 고도화된 서브컬쳐 ‘루나’ 예고 05-23 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
