아태지역 활개친 中해커단, SKT 공격…"말단장비 취약점 노려" 작성일 05-27 136 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">구글 보안조직 맨디언트 "패치 안된 제로데이 취약점 문제" 분석<br>"中 해커단 2곳 활발…통신사 공격은 대게 감청 등 정보전 일환"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Y1D88nloFv"> <figure class="figure_frm origin_fig" contents-hash="751e7da8ffc253fa4131d0137a8aab216df3dacaa3cb8edbf86090dbc336505a" dmcf-pid="G3mQQgTNpS" dmcf-ptype="figure"> <p class="link_figure"><img alt="27일 서울 중구 서울역 인근 한 사무실에서 구글 클라우드는 '맨디언트 M-Trends 2025 미디어 브리핑'을 진행했다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄이 발표를 진행하는 모습./뉴스1 ⓒ News1 윤주영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/27/NEWS1/20250527151551185iigq.jpg" data-org-width="1400" dmcf-mid="YUqttbo9uM" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/27/NEWS1/20250527151551185iigq.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 27일 서울 중구 서울역 인근 한 사무실에서 구글 클라우드는 '맨디언트 M-Trends 2025 미디어 브리핑'을 진행했다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄이 발표를 진행하는 모습./뉴스1 ⓒ News1 윤주영 기자 </figcaption> </figure> <p contents-hash="3299be3e80ac012d20f5fe5d5db2dad0c16ce1054845c4b0d9bec3d318d3ebac" dmcf-pid="H0sxxayjpl" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = 최근 'SK텔레콤(017670) 해킹 사태' 배후로 중국계 해커 집단이 지목된다. 구글 클라우드 역시 지난해 아시아·태평양에서 중국계 집단 2곳의 활동이 가장 왕성했다는 분석을 내놨다.</p> <p contents-hash="3a49f9ba3a25cd6d89a82aab2c99cdd89c2917165594f3bdd6054b1ff5a17e3f" dmcf-pid="XpOMMNWAUh" dmcf-ptype="general">이들은 주로 이반티 등 말단(엣지) 네트워크 장비가 지닌 '제로데이 취약점'을 파고들어 초기 침투를 수행한다. 이후 운영체제(OS) 커널 백도어 설치 등 이번 사태와 같은 내부 공격이 가능해진다.</p> <p contents-hash="5522a7d07f45ca419389b5734af9e75d8f60a104bed446d1b37a5ad16f325df5" dmcf-pid="ZUIRRjYcFC" dmcf-ptype="general">27일 구글 클라우드 맨디언트는 서울 중구에서 'M-Trends 2025 미디어 브리핑'을 가지고 이런 내용을 공유했다. 맨디언트는 구글 클라우드의 사이버 보안 자회사다.</p> <p contents-hash="2da4570546b25915bbbe299ea7b16e1036ce854a6cda0652071e5c151f8c76bc" dmcf-pid="5uCeeAGk3I" dmcf-ptype="general">맨디언트는 지난해 1000건 이상의 침해사고를 조사하는 과정에서 300여개 그룹의 활동을 확인했다. 대다수는 불특정 유형(Uncategorized, 이하 UNC)이었다. </p> <p contents-hash="070af54940a5e5bb7619a919fdea85cda2cbdc232ee2f71b3ea0b44da3da3df4" dmcf-pid="17hddcHEpO" dmcf-ptype="general">특히 한국을 포함한 아태 지역에서는 UNC5221, UNC3886로 명명된 2곳의 활동이 많이 관찰됐다. 맨디언트는 이들이 중국 후원을 받는 스파이 조직이라고 추정했다.</p> <p contents-hash="f0edd5f1a0fe35487f29074bc702b3e55c6c6c1a3fa2014511188c5ce56aa935" dmcf-pid="tzlJJkXDFs" dmcf-ptype="general">구체적으로 UNC5221은 엣지 네트워크 장치, 특히 이반티라는 업체의 가상사설망(VPN) 장비를 파고드는 수법을 쓴다. UNC3886은 기존 단말 이상대응·탐지(EDR) 설루션이 작동하기 어려운 네트워크 장치나 VM웨어 등을 노린다.</p> <p contents-hash="b3542fa8980faf7cd153d35342b483202101e66d4e342d1b66747258fd7eb91b" dmcf-pid="FqSiiEZw3m" dmcf-ptype="general">또 이들은 공통적으로 장비의 제로데이 취약점을 파고든다. 또 맞춤형 멀웨어를 적극 활용해 자격 증명(권한)이나 이메일 등 데이터를 탈취한다.</p> <p contents-hash="fa4dfdbfbe7aa578a9c9be792eb9eebe31abf3dd5ecc179c1a7f5a5ce6128f47" dmcf-pid="3BvnnD5r0r" dmcf-ptype="general">심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본지역 총괄은 "SKT를 특정한 건 아닌 일반적인 설명"이라면서도 "두 그룹은 지난해 아시아·유럽·미국 등지에서 통신기업, 정부·금융기관 등을 노렸다"고 설명했다.</p> <p contents-hash="2a763cffdf0efe5b0c0a8da464b8d6b3d91f43232fcd24306e1c85003d0f5104" dmcf-pid="0bTLLw1m3w" dmcf-ptype="general">이어 "이반티 등의 VPN을 공략해 초기 침투가 일어나는 식"이라며 "이후 시스템 간 횡 이동을 통해 내부망에 커스텀 백도어 등을 설치하면 데이터를 본격적으로 탈취할 수 있다"고 덧붙였다.</p> <p contents-hash="9ac4effff1a689073521f25d5ec5d6b876dd8c09894f076b22280f03620cf53d" dmcf-pid="pCdppVj4uD" dmcf-ptype="general">실제로 SKT 역시 지난달 초까지 이반티 VPN 장비를 썼던 것으로 알려졌다. 또 내부 리눅스 서버 커널에서 백도어 일종인 'BPF도어' 공격이 발생, 데이터 유출로까지 이어졌다.</p> <p contents-hash="0eb47e90502524724cd9c34a85968cac8b9f9bc43987c3ac725924b4acee3776" dmcf-pid="UhJUUfA8uE" dmcf-ptype="general">맨디언트에 따르면 지난해 글로벌 전체 표적 산업군 중 금융 서비스는 17.4%로 가장 비중이 크다. 금전 탈취가 주된 동기라는 설명이다.</p> <p contents-hash="14d99fdffb2082e27f8c8bdca287266bb287f6d08c1e60b4d5f361161c6aaf6d" dmcf-pid="uliuu4c6Uk" dmcf-ptype="general">다만 통신사 공격은 스파이 활동의 일환일 수 있다는 분석도 나온다.</p> <p contents-hash="8e946f5ff6f78c662699bd0c9abc7f7ca8b7f6fc34d876ace7d6fad3b844a5fb" dmcf-pid="7Sn778kP3c" dmcf-ptype="general">심 총괄은 "지난해 바라쿠다 이메일 게이트웨이 사태 등 엣지를 통해 들어오는 스파이 활동은 통신 감청이나 이메일 탈취를 목적으로 했다"며 "중국과 긴장 관계에 놓인 동남아 국가들이 타깃이 됐다"고 설명했다.</p> <p contents-hash="e52d16993a2f8b6b1bbd6f1b56c24ad464841b789ec871b4783b21ede6ab9449" dmcf-pid="zvLzz6EQ0A" dmcf-ptype="general">이어 "금전이 목적이었으면 다크웹 거래나 협박을 통해 금전화를 서둘렀을 것"이라고 덧붙였다.</p> <p contents-hash="891a98ddf3f156d1d68b28f752d1cbbba55cfba3022d041f2b6ef48f33e0e368" dmcf-pid="qToqqPDxUj" dmcf-ptype="general">SKT 역시 최초 공격 시점이 3년 전이지만, 현재까지 다크웹으로 관련 정보가 거래되지는 않은 것으로 알려졌다.</p> <p contents-hash="c46dae851cbaad84f545bbbde8110f5c0b45eabfb70294eded0d53427051776e" dmcf-pid="BygBBQwM0N" dmcf-ptype="general">legomaster@news1.kr<br><br><strong><용어설명></strong><br><br>■ 제로데이 취약점<br>제로데이 취약점(Zero-Day Vulnerability)은 소프트웨어·하드웨어·네트워크 장비 등에서 발견되었지만 해당 제품 개발자나 일반 대중에게 아직 알려지지 않은 보안상의 결함을 의미한다. 이 취약점은 공식적으로 공개되거나 패치가 제공되기 전 단계로 방어책이 마련되지 않은 보안 위협 요소다.<br><br>■ 가상사설망(VPN)<br>Virtual Private Network. 가상사설망. 공용 네트워크에서 분리된 내부망에 접속할 수 있도록 도와주는 보안 서비스.<br><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 네이버노조 "최인혁 복귀, 30일까지 해명 없으면 6월 11일 집회"(종합) 05-27 다음 '천둥 호랑이' 권인하, 31일 라이브콘서트 '포효' 개최 05-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
