"中 연관 해커그룹, 2000여 시스템 은밀히 통제…한국 457대"

안랩-NCSC, 공동 보고서 발표
APT그룹 '티에이 섀도우크리켓'
사이버 공격 활동 추적 분석

중국과 연관된 해 그룹이 전 세계 2000여대 이상의 시스템에 침투해 조용히 통제해온 것으로 드러났다.

안랩과 국정원 국가사이버안보센터(NCSC)는 23일 중국과 연관된 것으로 추정되는 APT(지능형지속공격) 그룹 '티에이 섀도우크리켓'의 사이버 공격 활동을 공동으로 추적 분석한 보고서를 발표했다.

새도우크리켓은 2012년부터 활동을 시작한 것으로 추정되며, 외부에 노출된 윈도 서버의 원격 접속 기능이나 데이터베이스 접속을 노려 시스템에 침투해 전 세계 2000대 이상의 감염된 시스템을 통제해 오고 있었던 것으로 나타났다.

특히 이들은 금전 요구나 정보 유출 등 일반적 해킹에서 나타나는 행위 없이 침투 후 오랜 기간 은밀히 시스템 장악 상태를 유지하는 방식으로 활동한 것이 특징이라고 보고서는 지적했다.

이 그룹은 비밀번호를 무작위로 시도하는 방식으로 침투한 뒤 시스템을 원격으로 조종할 수 있는 백도어 악성코드를 설치하고, 이를 정상 실행파일 내부에 삽입해 사용자가 의심 없이 실행하도록 만든다.

안랩과 NCSC는 이 그룹의 서버에 실제 운영 중인 중요한 시스템을 포함해 2000개 이상 피해 시스템이 연결돼 있었고, 필요시 분산 서비스 거부(DDos) 공격 등 추가 침해에 활용할 수 있는 상태로 유지 중이었다고 확인했다.

국가별로는 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 대만 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등이었다.

피해 예방을 위해 사용자는 윈도 운영체제 등을 최신 상태로 업데이트하고, 외부에서 접근 가능한 설정이 열려 있는지 점검해야 한다고 제언했다. 비밀번호는 복잡하게 설정하고, 가능한 경우 다단계 인증을 적용해야 한다.

김보경 기자 bkly477@asiae.co.kr