"이란 연계 해킹그룹, IP 1.2만개 정찰…중동·글로벌 인프라 침투" 작성일 04-14 36 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="ZD83xcztyA"> <figure class="figure_frm origin_fig" contents-hash="93126688388df115d862de73d76651fd657c2b30f7082055305940b5e6cd38d8" dmcf-pid="5w60MkqFlj" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/14/552796-pzfp7fF/20260414175007344tzwz.jpg" data-org-width="640" dmcf-mid="XabHVLFYCc" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/14/552796-pzfp7fF/20260414175007344tzwz.jpg" width="658"></p> </figure> <p contents-hash="9100dadacb86dc6a7ef569a6a1cd8c21e2547915fcdc21380d1b815937f409a1" dmcf-pid="1CeqnsV7CN" dmcf-ptype="general">[디지털데일리 김보민기자] 이란 연계 해킹 그룹이 주요 인터넷프로토콜(IP)을 정찰한 뒤 중동 및 글로벌 인프라를 침투한 정황이 발견됐다.</p> <p contents-hash="c0b0120f130e554171f5f1284643adbdb8c9ee230b692da1590f37db03bd96ce" dmcf-pid="thdBLOfzWa" dmcf-ptype="general">사이버위협 인텔리전스 기업 오아시스시큐리티는 이란과 연계된 것으로 추정되는 해킹그룹이 전 세계를 대상으로 대규모 취약점 정찰을 수행한 정황을 확인했다고 14일 밝혔다. 공격자는 중동을 중심으로 다수 국가 정부기관 및 핵심 인프라를 겨냥한 선별적 침투 공격을 진행했고 일부 기관에서는 실제 데이터 탈취와 외부 유출까지 이어진 것으로 분석됐다.</p> <p contents-hash="546fcae9a63bd3382fb1c68fcc035947cff4f30281c247c0b79eddc8b5653a9f" dmcf-pid="FlJboI4qhg" dmcf-ptype="general">이번 분석은 공격자가 실제 운용 중이던 명령제어(C2) 서버와 공격 인프라 데이터를 기반으로 이뤄졌다. 침투부터 내부 확산, 계정 탈취, 데이터 유출에 이르는 전 과정이 기술적으로 검증됐다는 점에서 의미가 있다.</p> <p contents-hash="727ad15d36d67873e621a7438a0840c57a9642997b7f14306011db04056ab671" dmcf-pid="3SiKgC8BWo" dmcf-ptype="general">오아시스시큐리티에 따르면 공격자는 파이썬(Python)과 고(Go)언어로 개발된 다수 C2 컨트롤러를 운용했다. AES 기반 암호화 통신과 클라이언트 식별 등을 활용해 감염 시스템을 제어한 것으로 확인됐다. 특히 일부 통신 방식과 운영 패턴은 과거 '머디워터(MuddyWater)' 계열에서 사용된 기법과 유사한 특징을 보였다.</p> <p contents-hash="68d483c9d56dddd6676cb26575dc36ec0f1584d3570c0d8bdadfd7d1c112862b" dmcf-pid="0vn9ah6bSL" dmcf-ptype="general">공격자는 최신 원격 코드 실행(RCE) 및 인증 우회 취약점 등 최소 5종의 고위험취약점(CVE)을 무기화해 전 세계 인터넷 노출 시스템을 대상으로 약 1만2000개 이상 IP를 스캐닝하며 취약 대상을 선별했다. 이러한 정찰 활동은 특정 국가를 넘어 글로벌 인프라 전반을 대상으로 수행된 것으로 확인됐다.</p> <p contents-hash="3ac73ed0cb86706a6bc419dc19cd06e71d5e5eaf132a9ef028e6dc99f0aa0efd" dmcf-pid="pTL2NlPKSn" dmcf-ptype="general">이후 공격은 군수, 항공, 에너지 등 국가 핵심 기능을 담당하는 조직을 중심으로 선별적으로 진행됐다. 특히 이집트, 아랍에미리트, 이스라엘 등 중동 주요 국가를 포함해 다수 국가 정부 및 공공기관에서 실제 침해 정황이 확인됐다.</p> <p contents-hash="ff4be203718f6a983d4bd7e25b2fd47a73f2825767fdc26adc123aaf823435ad" dmcf-pid="UyoVjSQ9Wi" dmcf-ptype="general">오아시스시큐리티에 따르면 이집트 항공사 관련 시스템에서 여권, 비자, 급여 정보, 신용카드 정보 등 민감 데이터 약 200여 건이 외부로 유출됐다. 또한 이집트 군수생산부, 국영 석유·가스 기업, 아랍에미리트(UAE) 에너지·해양 인프라 기업 등을 대상으로 한 계정 탈취 및 접근 시도와 일부 성공 정황도 확인됐다. 포르투갈과 인도를 대상으로 한 공격이 추가로 확인됐다.</p> <p contents-hash="e455733cfc43332e8dbb3cbcc569770076e454f89b49d94af2db8dceac430d26" dmcf-pid="ue0l7xYChJ" dmcf-ptype="general">이번 공격 활동은 2월 초 최초 식별됐다. 중동 지역 군사적 긴장이 고조되기 이전 시점과 맞물려 진행된 것으로 분석돼 해당 해킹 그룹의 전략적 공격 수행 가능성을 시사한다.</p> <p contents-hash="2f2ff28adab3b0389dca8e6f2e7f2834bce765aa4bfc8c01f1b7065236d33c42" dmcf-pid="7dpSzMGhWd" dmcf-ptype="general">오아시스시큐리티 관계자는 "이번 사례는 대규모 정찰부터 실제 데이터 탈취까지 이어지는 전형적인 사이버 첩보 활동의 특징을 보인다"며 "특히 공격 인프라 데이터를 확보해 다양한 공격 흐름까지 확인할 수 있었다"고 말했다. 이어 "이러한 공격은 단순 침해 사고를 넘어 국가 핵심 인프라를 겨냥한 위협으로 진화하고 있다"며 "공격자 인프라와 운영 패턴을 기반으로 한 선제적 대응 체계 구축이 필수적"이라고 강조했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 특수부대 출신, 살인자 누명 썼다…해녀 김예림x해남 강상준 '아주르스프링', 5월 11일 공개 04-14 다음 [단독] 기술 탈취 막는다…IP 보호 제도 35년 만에 대수술 04-14 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
