"中 추정 해커, 전세계 2000대 시스템 통제" 안랩, 분석 보고서 공개

[이데일리 최연두 기자] 중국 배후로 추정되는 신생 해커 조직 ‘티에이 섀도우크리켓’(TA-ShadowCricket)이 전 세계 2000대 이상 시스템에 침투해 통제하고 있다는 분석 결과가 나왔다.



안랩(053800)은 자체 사이버 위협 분석 조직(ASEC)이 국가사이버안보센터(NCSC)와 지능형지속위협(APT) 그룹 티에이 섀도우크리켓의 최근 사이버 공격 활동을 추적·분석한 APT 그룹 추적 보고서를 23일 발표했다.

섀도우크리켓은 지난 2012년부터 활동을 시작한 것으로 추정된다. 안랩에 따르면 이 그룹은 중국 연관성이 의심되나 국가 지원 여부는 확실하지 않다. 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이라는 설명이다.

안랩·NCSC 분석 결과, 섀도우크리켓은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔히 나타나는 행위 없이, 침투 후 오랜 기간 들키지 않은 채 시스템을 조용히 장악한 상태를 유지하는 방식으로 활동해 온 것이 특징이다.

특히 외부에 노출된 윈도 서버의 원격 접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 대상으로, 포트 정보를 탐색한 뒤 비밀번호를 무작위로 시도하는 방식으로 침투한다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 백도어 악성코드를 설치하고, 이를 정상 실행파일(exe 파일) 내부에 몰래 삽입해 사용자가 의심 없이 실행하도록 만든다.

해당 백도어 악성코드는 공격자의 명령제어(C&C) 서버와 연결돼 있다. 공격자가 직접 다시 접속하지 않아도 감염된 시스템에서 명령 자동 수행, 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하다.

안랩·NCSC가 섀도우크리켓이 운영한 C&C 서버를 확보해 추적한 결과 이 서버에는 2000개 이상의 피해 시스템이 연결돼 있었다. 이 중에는 실제로 운영 중인 중요한 시스템도 포함된 것으로 조사됐다. 공격자는 이 시스템을 직접 만든 봇넷(botnet, 감염된 컴퓨터 네트워크)의 일부로 삼아, 필요 시 분산서비스거부(DDoS·디도스) 공격이나 추가 침해에 활용할 수 있는 상태로 유지하고 있는 것으로 나타났다.

안랩 측은 피해 예방을 위해 윈도 운영체제와 MS-SQL 서버, RDP 기능 등을 항상 최신 상태로 업데이트하고, 외부에서 접근 가능한 설정이 열려 있는지 점검하라고 조언했다. 관리자 비밀번호는 영문, 숫자, 특수문자를 조합해 복잡하게 설정하고, 가능한 경우 다단계 인증(MFA)을 적용해야 한다고 강조했다.

안랩은 현재 자사 보안 솔루션에서 해당 그룹이 사용하는 악성코드를 탐지·차단하고 있으며, 공격에 사용된 C&C 서버와 도메인에 대한 대응 체계를 강화하고 있다. 또한, 이번 분석에서 확인된 침해 방식과 악성코드 정보를 기반으로, 관련 위협에 대한 탐지 및 선제적 방어 기술을 지속적으로 업데이트하고 있다.

이명수 안랩 ASEC A-퍼스트팀장은 “이번 공격 그룹은 수천 개의 피해 시스템과 C&C 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “이처럼 장기간 통제되고 있는 감염 시스템은 공격자의 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.

합동 보고서 전문은 ASEC의 위협 인텔리전스 분석 정보 채널에서 확인할 수 있다.