안랩과 국가사이버안보센터(NCSC)가 중국 연계 가능성이 있는 지능형 지속 공격(APT) 조직 ‘TA-ShadowCricket’의 활동을 공동 분석한 추적 보고서를 발표했다. 이 그룹은 최소 2012년부터 활동을 시작해 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능과 MS-SQL 데이터베이스를 노려 침투한 뒤, 전 세계 2천 대 이상의 시스템을 조용히 장악해온 것으로 나타났다.

 

안랩 ASEC과 NCSC는 2023년부터 최근까지의 추적 결과를 바탕으로, 이들이 브루트포스(무차별 대입) 방식으로 시스템에 접근한 후 백도어 악성코드로 C&C 서버와 연결된 감염 시스템을 장기적으로 조종해온 정황을 확인했다. 특히, 정상 EXE 파일에 백도어를 삽입하는 방식으로 탐지를 회피해 감염된 시스템을 봇넷으로 활용할 수 있는 상태로 유지해온 점이 주목된다.

 

보고서에 따르면, 이 공격 그룹은 금전적 요구나 정보 유출 없이 침투 후 오랜 기간 흔적을 남기지 않고 시스템을 통제해온 방식으로 활동했다. 이는 전형적인 APT 특성과 맞닿아 있다. 안랩과 NCSC가 확보한 C&C 서버에는 실제 운영 중인 중요 시스템을 포함한 2천여 대의 피해 시스템이 연결돼 있었고, 공격자는 이들을 통해 향후 DDoS 공격이나 추가 침해 행위로 확장할 수 있는 기반을 확보하고 있었다.

 

 

이명수 ASEC A-FIRST팀 팀장은 “TA-ShadowCricket은 장기간 조용히 감염 시스템을 유지하며 공격 가능성을 열어둔 보기 드문 사례”라며 “지속적인 백도어 제거와 C&C 서버 무력화 등 선제적 대응이 무엇보다 중요하다”고 강조했다.

 

안랩 관계자는 “운영체제와 데이터베이스 서버를 최신 상태로 유지하고 RDP 기능의 접근 제어와 관리자 비밀번호 복잡성 확보, 다단계 인증(MFA) 적용 등을 통해 피해를 예방해야 한다”고 조언했다.

 

안랩은 현재 자사 보안 솔루션(V3, EDR, MDS)으로 해당 그룹이 사용하는 악성코드를 탐지·차단하고 있으며, 이번 보고서를 기반으로 침해지표와 탐지 체계를 강화하고 있다.

 

헬로티 구서경 기자 |