보안앱 위장 설치 유도…검색 상단 악성 유포
EDR도 뚫렸다…정상 프로그램 악용 공격 확산

(서울=연합뉴스) 오지은 기자 = 중국을 배후에 둔 해킹그룹의 공격 수법이 금전 탈취를 넘어 고도의 스파이 활동으로 진화하고 있어 국내 정부 기관과 기업의 주의가 요구된다.

해킹 (PG)

[백수진 제작] 사진합성·일러스트

원본프리뷰

2일 보안업계에 따르면 중국 해킹그룹인 실버 폭스(Silver Fox)와 머스탱 판다(Mustang Panda)는 정상적인 소프트웨어와 드라이버를 악용하는 전략으로 기존 보안 체계를 무력화하고 있다.

먼저 2022년부터 활동해온 실버 폭스는 초기 금전적 목적에서 벗어나 2024년부터 스파이 활동을 병행하는 이른바 이중 트랙 모델로 성격을 완전히 바꿨다.

이들은 중국을 시작으로 대만과 일본으로 작전 범위를 넓혔으며 최근에는 동남아시아 전역으로 공격 대상을 확장했다.

실버 폭스는 세무 조사 안내나 재무 관리 소프트웨어 업데이트로 위장한 피싱 이메일을 유포하고 구글 검색 결과 최상단에 악성 페이지를 노출하는 SEO 포이즈닝(검색엔진 악용) 기법을 동원한다.

특히 최근에는 텔레그램 등 보안이 강조된 앱을 완벽히 사칭해 사용자 스스로 악성코드를 다운로드하게 유도한다.

보안업계에서는 엔드포인트 위협 탐지·대응(EDR 네트워크에 연결된 모든 단말에서 발생할 수 있는 위협을 실시간으로 탐지하고 분석해 대응하는 설루션)을 무력화하는 기법을 가장 우려하고 있다.

실버 폭스는 보안 프로세스를 강제 종료하기 위해 합법적인 전자 서명이 있는 취약한 구형 드라이버를 도구로 사용하는데 이는 보안 설루션 입장에서 정상적인 동작으로 오인될 소지가 크기 때문이다.

머스탱 판다는 지난해 쿨클라이언트(Cool Client) 백도어 악성코드를 사용해 정부 기관과 통신사를 정밀 타격하고 있다.

이들은 기존의 문서 탈취 단계를 넘어 실시간으로 사용자의 활동을 들여다보는 능동적 감시 체계로 공격의 패러다임을 전환했다.

카스퍼스키 등 주요 보안 기관의 분석에 따르면 머스탱 판다는 키로깅(자판 입력 정보 수집), 클립보드 모니터링은 물론 브라우저 쿠키 파일을 탈취해 구글 드라이브로 직접 유출하고 있다.

보안 전문가들은 이들 그룹의 공통점이 우리가 신뢰하는 도구를 공격의 수단으로 삼는 것이라고 입을 모은다.

정상 RMM(원격 관리) 도구나 서명된 드라이버를 악용하는 공격은 단순한 파일 검사만으로는 차단이 불가능하기 때문이다.

이러한 공격에 대응하기 위해서는 윈도우 내 취약 드라이버 차단, 인가되지 않은 클라우드로의 데이터 유출 모니터링 등 다층적인 방어 정책이 필요하다.

보안업계 관계자는 "중국 해킹그룹의 공격은 단순한 기술적 침입을 넘어 타깃 국가의 업무 맥락을 정확히 이해한 상태에서 이뤄진다"며 "출처가 불분명한 소프트웨어 업데이트나 보안 앱 설치 유도에 대해 사용자들의 각별한 주의가 필요하다"고 강조했다.

built@yna.co.kr