안랩-국정원 NCSC 공동 분석 보고서 
한국 457대 등 전 세계 2000여대 서버 감염

안랩-NCSC APT 그룹 TA-ShadowCricket 관련 합동 추적 보고서 발표 / 사진제공=안랩

중국의 섀도우포스 해커그룹이 전 세계 72개국에 소재한 2000여대의 서버를 감염시켜 통제해왔다는 조사 보고서가 나왔다.

안랩은 국가정보원 국가사이버안보센터(NCSC)와 함께 중국과 연관된 것으로 추정되는 APT(지능형 지속 공격) 그룹 '섀도우 크리켓'(별칭 '섀도우포스')의 최근 사이버 공격 활동을 공동으로 추적 분석한 보고서를 발표했다며 23일 이같이 밝혔다. 섀도우포스는 중국과의 연관성이 의심되지만 중국 정부의 배후 지원 여부는 불확실한 것으로 평가됐다.

안랩과 NCSC는 2023년부터 최근까지 섀도우포수의 활동을 공동으로 추적해 이번 보고서를 작성했다. 섀도우포스는 2012년부터 한국을 포함한 아시아·태평양 지역 국가에서 활동해왔고 주로 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능이나 MS SQL(데이터베이스 관리 시스템) 서버를 침투해 IRC(인터넷 릴레이 챗)봇이나 백도어를 설치해 관리했다.

안랩·NCSC는 IRC 서버가 설치돼 C&C서버(공격자가 악성코드 원격 조종을 위해 사용하는 서버)로 사용되고 있는 시스템을 확보해 분석했다. 이 결과 전 세계 72개국 2000여대의 서버가 감염돼 있었던 것으로 나타났다. 피해 서버의 국가별 분포를 보면 중국이 895대로 가장 많았고 한국이 457대로 2위였다. 이외에도 인도(98대) 베트남(94대) 대만(44대) 독일(38대) 인도네시아(37대) 태국(31대) 미국(25대) 등 국가에서도 IRC 기반 봇넷을 구축한 정황이 확인됐다.

안랩과 NCSC는 "섀도우포스는 금전 요구나 정보 유출 등 일반적인 해킹에서 흔히 나타나는 행위 없이, 침투 후 오랜 기간 들키지 않은 채 시스템을 조용히 장악한 상태를 유지하는 방식으로 활동해 온 것이 특징"이라며 "침해 후에 금전을 요구하지 않고 훔친 정보를 다크웹에도 공개하지 않으며 13년 넘게 조용히 활동하고 있다"고 했다.

또 "공격자는 이 시스템들을 자신이 만든 봇넷(botnet, 감염된 컴퓨터 네트워크)의 일부로 삼아, 필요 시 언제든지 분산 서비스 거부(DDoS) 공격이나 추가 침해에 활용할 수 있는 상태로 유지하고 있는 것으로 나타났다"고 설명했다.섀도우포스는 외부에 노출된 윈도우 서버의 RDP 기능이나 MS SQL 서버를 대상으로 포트 정보를 탐색한 뒤 비밀번호를 무작위로 시도하는 방식(Brute-force, 브루트포스 공격)으로 침투한다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 백도어(backdoor) 악성코드를 설치하고, 이를 정상 실행파일(EXE 파일) 내부에 몰래 삽입해 사용자가 의심 없이 실행하도록 만든다.

백도어 악성코드는 공격자의 C&C 서버와 연결됐다. 공격자가 직접 다시 접속하지 않아도 감염된 시스템에서 명령 자동 수행, 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하도록 만들어졌다.

아울러 안랩은 "피해 예방을 위해 사용자는 윈도우 운영체제와 MS-SQL 서버, 원격 접속(RDP) 기능 등을 항상 최신 상태로 업데이트하고, 외부에서 접근 가능한 설정이 열려 있는지 점검하는 것이 중요하다"며 "특히 관리자 비밀번호는 영문, 숫자, 특수문자를 조합해 복잡하게 설정하고, 가능한 경우 다단계 인증(MFA)을 적용해야 한다"고 당부했다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지