시큐리티팩트
중국 사이버 스파이 그룹 '레드노벰버', 美 방산 기업 해킹
전 세계 정부, 국방 등 핵심 기관 해킹 표적.. 한국 원자력 기관도 포함
댓글 0
기사입력
: 2025.09.26 13:10
[시큐리티팩트=최석윤 기자] 중국의 사이버 스파이 그룹이 전 세계 정부 및 주요 산업을 광범위하게 공격하고 있다. 사이버 보안 회사 리코디드 퓨처(Recorded Future)에 따르면, 이들이 최소 두 개의 미국 방위 산업 계약업체를 포함해 미주, 유럽, 아시아, 아프리카의 수많은 조직을 손상시켰다고 25일 시큐리티위크가 보도했다.
'레드노벰버', 타깃 향한 1년간의 은밀한 작전
2024년 7월부터 2025년 7월까지 1년 동안, 레드노벰버(RedNovember)로 추적된 이 위협 행위자들은 매우 광범위한 조직을 표적으로 삼았다. 이들의 주 타깃은 정부, 국방, 항공우주, 법률 서비스 등 전 세계적으로 명성이 높은 기관들이다.
이 사이버 스파이들은 초기 접근을 위해 여러 보안 업체의 장치를 노렸다. 시스코(Cisco), F5, 포티넷(Fortinet), 이반티(Ivanti), 팔로알토 네트웍스(Palo Alto Networks), 소닉월(SonicWall), 소포스(Sophos) 등 기업들이 외부 네트워크와 내부 네트워크를 연결하는 데 사용하는 에지 장치(Edge Device)를 손상시켰다. 이들은 또한 OWA(아웃룩 웹 액세스) 인스턴스(접속 환경)에도 침투했다.
공격의 핵심에는 여러 악성 도구가 사용되었다. 레드노벰버는 판테가나(Pantegana)라는 이름의 'Go 기반 백도어'를 배포했다. 백도어는 시스템에 몰래 접근할 수 있는 뒷문 역할을 한다. 또한 코발트 스트라이크(Cobalt Strike)와 스파크RAT(SparkRAT) 같은 공격적인 보안 도구들도 활용했다. 초기 접근, 내부 정보 수집(정찰), 그리고 후속 공격 활동을 위해 다양한 오픈 소스 도구도 배포했다.
리코디드 퓨처는 이들이 코발트 스트라이크와 판테가나를 명령 및 제어(C&C) 프레임워크로 사용하는 것으로 보고 있다. 서버 관리를 위해서는 익스프레스VPN에 계속 의존했다. 인프라에 원격으로 접속하기 위해서는 워프 VPN(Warp VPN)을 채택했을 가능성이 높다.
아프리카·아시아·유럽·남미 등 정부·외교 기관 목표
이들의 공격 패턴은 중국의 외교적 움직임과도 일부 연관된 것으로 보인다. 사이버 보안 회사는 중국을 국빈 방문하기 직전에 남미 국가의 OWA 포털을 표적으로 삼는 것을 관찰했다. 또한 동남아시아 및 남미 외교부의 포털도 그 대상이었다.
지난 한 해 동안 이 그룹은 아프리카, 아시아, 유럽, 남미 등 여러 국가의 정부 및 외교 기관을 목표로 삼았다. 특히 동남아시아에 기반을 둔 정부 간 조직에 대해서는 오랜 기간 접근을 유지해 온 것으로 추정된다.
레드노벰버의 주요 타깃 목록은 매우 민감하다.
△ 미국의 저명한 항공우주 및 방위 조직과 방위 산업 기반 기관
△ 유럽 우주 중심 연구 센터를 포함한 글로벌 방위 조직
△ 미 해군과 관련된 고등 교육 기관의 IP 주소 공간에 대한 광범위한 정찰 활동
2025년 4월에는 미국 엔지니어링 및 군사 계약업체를 표적으로 삼는 활동도 포착됐다. 위협 행위자의 인프라와 조직 내 인터넷에 접근 가능한 두 개의 ICS VPN 엔드포인트 간의 통신이 확인되었다. 비록 리코디드 퓨처가 성공적인 침해를 결론지을 충분한 증거는 찾지 못했지만, 이들의 의도는 명확했다.
한국 과학 연구, 원자력 규제 기관 2곳도 표적
레드노벰버는 민간 조직 역시 광범위하게 공격했다.
△ 유럽의 제조 회사
△ 글로벌 로펌
△ 대만 IT 회사
△ 미국 석유 및 가스 회사 2곳
△ 피지의 여러 금융 기관
△ 정부 기관, 언론 기관, 교통 당국 등
특히, 미국 신문사와 함께 한국의 과학 연구 및 원자력 규제 기관 2곳도 이들의 표적 목록에 포함되어 있었다.
보안 취약점 '정찰과 악용'에 집중
레드노벰버의 공격 캠페인은 주로 엣지 장치의 취약점을 노리는 데 집중되어 있다. 팔로알토 네트웍스 글로벌프로텍트 방화벽, 이반티 커넥트 시큐어 인스턴스 등 엣지 장치에서 새로 공개된 취약점을 정찰하고 악용하는 데 초점을 맞추고 있다.
리코디드 퓨처는 이러한 패턴이 지속될 것으로 예상한다. "레드노벰버는 다른 중국 국가 지원 위협 활동 그룹과 함께 (취약점) 출시 직후 계속해서 엣지 장치를 표적으로 삼고 악용할 것"이라고 사이버 보안 회사는 경고했다. 이는 기업들이 패치 관리와 보안 업데이트에 더욱 신속하게 대응해야 함을 시사한다.
