보안사고는 '일상'입니다. 이번 주 국내외에서 발생한 주요 사이버 위협과 사건·사고를 소개합니다. 최신 소식이 궁금하다면, '위클리 쓰렛(Weekly Threat)'을 확인해 보세요. <편집자주>

[디지털데일리 김보민기자] 중국 연계 해커들이 오픈소스 모니터링 도구(툴)를 악용해 한국과 같은 국가에 악성코드를 배포하고 있다는 분석이 나왔다. 공격 목표는 특정되지 않았지만, 간첩 활동과 데이터 탈취 모두 가능성이 있는 것으로 나타났다.

국가 배후 해커의 위협이 거세진 가운데, 정보기술 및 소프트웨어(IT·SW) 업계의 대형 기업을 노린 공격도 이어졌다. 대표적으로 오라클과 레드햇은 데이터 탈취 의혹에 진땀을 흘리고 있다.

◆ "100대 이상 손상 시스템 발견…한국·대만·일본 피해 다수"

사이버보안 기업 헌트리스(Huntress)는 8일 '중국 연계 위협 행위자들이 선호하는 새로운 도구'라는 제목의 보고서를 발표했다. 보고서에 따르면 중국과 연계된 것으로 추정되는 해커들은 오픈소스 모니터링 도구를 악용해, 원격제어 악성코드를 퍼뜨렸다.

해커들이 공격 무기로 활용한 모니터링 도구는 '네자(Nezha)'다. 헌트리스는 "이번 사례는 합법적인 오픈소스 모니터링 도구가, 웹 침입 후 악성 활동을 용이하게 하는 데 악용됐다는 점에 의의가 있다"고 경고했다. SW 도구가 합법적인 목표를 위해 개발됐다 하더라도, 해커가 본연의 목적에 어긋난 용도로 사용할 가능성이 있다는 취지다.

해커는 취약점을 통로 삼아 시스템에 침투한 뒤 '로그 중독' 혹은 '로그 인젝션'이라고 불리는 방식으로 웹셸을 심은 것으로 나타났다. 특히 멀웨어 '고스트 랫(Gh0st RAT)'과 웹셸 관리도구 '앤드스워드(AntSword)'를 무기로 활용했고, 침투 후 관리 인터페이스 언어를 간체 중국어로 변경한 흔적이 포착됐다. 헌트리스는 이러한 특징을 고려해 해커가 중국과 연계돼 있을 것으로 추정했다.

시스템이 침투 피해를 입은 피해자들은 대부분 한국, 대만, 일본, 홍콩, 싱가포르, 말레이시아에 있는 것으로 확인됐다. 헌트리스는 "공격의 목표가 간첩 활동인지 데이터 도난인지 판단할 수는 없다"면서도 "현재 (피해 시스템 규모가) 100대 이상은 것으로 보이지만, 시간이 지나면서 그 규모는 더욱 늘어날 것"이라고 내다봤다. 이어 "공격자가 신속하게 시스템을 손상시키고 장기간 접근(액세스)를 유지할 수 있는 능력을 갖췄다는 점을 간과하지 말아야 한다"고 경고했다.

◆ "민감 데이터, 다 훔쳤습니다" IT·SW 기업 협박하는 해커들

불특정 다수뿐만 아니라, 특정 기업의 고객의 데이터를 탈취했다고 주장하는 해커들도 등장했다. 구글위협인텔리전스그룹(GTIG)는 10일 '오라클 이비즈니스 스위트(E-Business Suite) 제로데이, 광범위한 협박 캠페인에 악용' 보고서를 통해 이러한 소식을 알렸다. 보고서에 따르면 클롭(CLOP) 랜섬웨어 연계 공격자는 글로벌 기업에게 '귀사의 오라클 이비즈니스 스위트를 침해해 다수 문서를 복사했다' 혹은 '민감 데이터를 탈취했다' 등 취지의 협박을 가했다.

협박과 함께 기재된 연락처와 이메일 주소는 클롭 운영으로 알려진 데이터 유출 사이트에 게시된 정보와 일치하는 것으로 나타났다. 연계 가능성을 시사하는 부분이다. 다만 구글 측은 전술과 정보가 일치하다고 해서 모든 정보가 유출됐다고 확정 짓기 어렵다고 선을 그었다. 다만 보안 조치를 취할 것을 권장했다. 특히 "긴급 패치를 즉시 적용하고, 데이터베이스(DB)에서 악성 템플릿을 찾을 것"을 권고했다.

레드햇 또한 해커조직 '크림슨콜렉티브(Crimson Collective)'로부터 고객 데이터를 탈취했다는 협박을 받았다. 사이버보안 기업 그룹아이비에 따르면 해커는 텔레그램을 통해 레드햇 고객참여보고서(CER) 등 2만8000개 이상의 저장소를 탈취했다고 주장했고, 규모는 570기가바이트(GB)에 달하는 것으로 추정된다. 샘플에는 파이프라인, 구성, 백업 등에 관련된 기업 파일이 포함된 것으로 나타났다.

◆ 소중한 월급 어디갔나 봤더니…'급여 해적'의 등장

사이버 범죄자들이 대학과 미국 기관을 대상으로 '급여 해적(Payroll Pirates)' 공격을 가하고 있다는 경고도 나왔다. 마이크로소프트(MS)에 따르면 급여 해적이라고 불리는 해커들은 피해 대상의 월급을 공격 계좌로 빼돌리는 악성 행위를 벌이고 있다.

해커는 피싱 이메일을 통해 워크데이(Workday)와 같은 제3자 플랫폼에 접근한 것으로 나타났다. 피싱 메일에는 악성링크가 담겨 있었고, 이를 통해 다중인증(MFA) 코드를 탈취하고 피해자 워크데이 계정을 장악할 수 있었다. 마이크로소프트(MS)는 "2025년 3월 이후 3개 대학에서 11개 계정이 해킹돼, 25개 대학의 약 6000개 이메일 계정으로 피싱 이메일이 발송됐다"고 말했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -