(서울=뉴스1) 윤주영 기자 = 최근 'SK텔레콤(017670) 해킹 사태' 배후로 중국계 해커 집단이 지목된다. 구글 클라우드 역시 지난해 아시아·태평양에서 중국계 집단 2곳의 활동이 가장 왕성했다는 분석을 내놨다.
이들은 주로 이반티 등 말단(엣지) 네트워크 장비가 지닌 '제로데이 취약점'을 파고들어 초기 침투를 수행한다. 이후 운영체제(OS) 커널 백도어 설치 등 이번 사태와 같은 내부 공격이 가능해진다.
27일 구글 클라우드 맨디언트는 서울 중구에서 'M-Trends 2025 미디어 브리핑'을 가지고 이런 내용을 공유했다. 맨디언트는 구글 클라우드의 사이버 보안 자회사다.
맨디언트는 지난해 1000건 이상의 침해사고를 조사하는 과정에서 300여개 그룹의 활동을 확인했다. 대다수는 불특정 유형(Uncategorized, 이하 UNC)이었다.
특히 한국을 포함한 아태 지역에서는 UNC5221, UNC3886로 명명된 2곳의 활동이 많이 관찰됐다. 맨디언트는 이들이 중국 후원을 받는 스파이 조직이라고 추정했다.
구체적으로 UNC5221은 엣지 네트워크 장치, 특히 이반티라는 업체의 가상사설망(VPN) 장비를 파고드는 수법을 쓴다. UNC3886은 기존 단말 이상대응·탐지(EDR) 설루션이 작동하기 어려운 네트워크 장치나 VM웨어 등을 노린다.
또 이들은 공통적으로 장비의 제로데이 취약점을 파고든다. 또 맞춤형 멀웨어를 적극 활용해 자격 증명(권한)이나 이메일 등 데이터를 탈취한다.
심영섭 구글 클라우드 맨디언트 컨설팅 한국·일본지역 총괄은 "SKT를 특정한 건 아닌 일반적인 설명"이라면서도 "두 그룹은 지난해 아시아·유럽·미국 등지에서 통신기업, 정부·금융기관 등을 노렸다"고 설명했다.
이어 "이반티 등의 VPN을 공략해 초기 침투가 일어나는 식"이라며 "이후 시스템 간 횡 이동을 통해 내부망에 커스텀 백도어 등을 설치하면 데이터를 본격적으로 탈취할 수 있다"고 덧붙였다.
실제로 SKT 역시 지난달 초까지 이반티 VPN 장비를 썼던 것으로 알려졌다. 또 내부 리눅스 서버 커널에서 백도어 일종인 'BPF도어' 공격이 발생, 데이터 유출로까지 이어졌다.
맨디언트에 따르면 지난해 글로벌 전체 표적 산업군 중 금융 서비스는 17.4%로 가장 비중이 크다. 금전 탈취가 주된 동기라는 설명이다.
다만 통신사 공격은 스파이 활동의 일환일 수 있다는 분석도 나온다.
심 총괄은 "지난해 바라쿠다 이메일 게이트웨이 사태 등 엣지를 통해 들어오는 스파이 활동은 통신 감청이나 이메일 탈취를 목적으로 했다"며 "중국과 긴장 관계에 놓인 동남아 국가들이 타깃이 됐다"고 설명했다.
이어 "금전이 목적이었으면 다크웹 거래나 협박을 통해 금전화를 서둘렀을 것"이라고 덧붙였다.
SKT 역시 최초 공격 시점이 3년 전이지만, 현재까지 다크웹으로 관련 정보가 거래되지는 않은 것으로 알려졌다.
