시큐리티팩트

[시큐리티팩트=김상규 기자] 구글의 위협 인텔리전스 그룹(GTIG)과 맨디언트(Mandiant)가 업계 파트너들과 공조하여 중국 배후의 사이버 스파이 그룹 ‘UNC2814’의 글로벌 인프라를 무력화하는 데 성공했다고 27일 밝혔다. 이번 작전은 전 세계 정부 기관과 기업을 대상으로 한 광범위한 첩보 활동에 제동을 걸었다는 점에서 큰 의미를 갖는다.

42개국 53건 침해 확인... ‘솔트 타이푼’과는 다른 독자 조직

GTIG의 조사 결과, UNC2814는 전 세계 42개국에서 최소 53건의 시스템 침해 사고를 일으킨 것으로 확인됐다. 이뿐만 아니라 20여 개국에서도 공격을 위한 사전 정찰 및 타겟팅 정황이 추가로 포착되어 이들의 공격 범위가 전 지구적이었음을 방증했다.

특히 주목할 점은 최근 여러 언론에서 통신사 및 정부 기관을 노리는 것으로 보도된 중국 해킹 그룹 ‘솔트 타이푼(Salt Typhoon)’과의 관계다. 일각에서는 이들이 동일 조직일 가능성을 제기했으나, GTIG는 지난 10여 년간의 추적 데이터를 바탕으로 “두 그룹 간의 연관성은 발견되지 않았다”고 못 박았다.

GTIG에 따르면 UNC2814는 고유한 전술과 독자적인 인프라를 운용하며, 전혀 다른 유형의 피해자들을 공격하는 독립적인 스파이 그룹이다.

신종 백도어 'GRIDTIDE', 구글 스프레드시트를 명령 서버로 악용

이번 분석이 급물살을 탄 것은 2025년 말, 맨디언트가 UNC2814의 새로운 무기인 'GRIDTIDE' 백도어를 탐지하면서부터다.

GRIDTIDE는 감염된 시스템에 장기 상주하기 위해 설계된 정교한 악성코드로, 구글 스프레드시트(Google Sheets)를 명령 및 제어(C2) 서버로 활용하는 기발한 방식을 취했다. 공격자가 구글 스프레드시트에 명령어를 입력하면, 백도어가 이를 읽어와 실행하는 식이다.

이는 구글 서비스 자체의 보안 취약점을 이용한 것이 아니라, 정상적인 SaaS 플랫폼 기능을 악용한 사례다. 일반적인 네트워크 환경에서 구글 스프레드시트와의 통신은 정상적인 업무 트래픽으로 간주되기 때문에 보안 솔루션의 탐지를 교묘히 회피할 수 있었다. 이는 자체 인프라를 구축하는 리스크를 줄이고 기성 클라우드 플랫폼의 신뢰도를 역이용하는 최신 공격 트렌드를 극명하게 보여준다.

정상 서비스를 무기로 쓰는 'Living off the Cloud' 사례들

정상적인 클라우드 서비스를 공격 인프라로 악용하는 사례는 이번이 처음이 아니다. 보안 업계에서는 이를 ‘클라우드 기반의 자급자족(Living off the Cloud)’ 공격이라 부른다.

과거 ‘APT29(코지 베어)’ 등 국가 배후 해킹 그룹은 악성코드를 유포하거나 데이터를 탈취할 때 드롭박스(Dropbox)의 API를 명령 및 제어 채널로 사용하여 기업 방화벽을 무력화한 사례가 있었다. 또한 수많은 정보 탈취형 악성코드들이 텔레그램(Telegram)의 봇 API를 이용해 탈취한 데이터를 전송하기도 한다. 이는 암호화된 메신저 트래픽의 특성상 보안 장비가 그 내용을 들여다보기 어렵다는 점을 노린 전략이다.

아울러 깃허브(GitHub) 저장소를 활용하는 수법도 빈번하게 발생하고 있다. 공격자가 깃허브의 특정 리포지토리에 악성 페이로드를 숨겨두면, 감염된 시스템은 이를 정상적인 소프트웨어 업데이트 과정인 것처럼 내려받아 탐지망을 빠져나가게 된다. 이처럼 신뢰받는 클라우드 서비스를 공격 도구로 변개하는 방식은 현대 사이버 스파이 활동의 핵심 전술로 자리 잡았다.

시사점: "신뢰할 수 있는 트래픽은 더 이상 없다"

이번 UNC2814 무력화 발표는 보안 담당자들에게 세 가지 냉정한 시사점을 던진다.

첫째, '신뢰 기반 탐지'의 종말이다. 과거에는 블랙리스트 IP나 알려진 악성 도메인을 차단하는 것만으로도 상당수의 공격을 막을 수 있었다. 하지만 구글, 드롭박스, 깃허브 등 업무 필수 서비스가 공격 도구가 된 상황에서는 "어디서 오는 트래픽인가"보다 "어떤 행위를 하는가"를 분석하는 행위 기반 탐지(EDR/XDR)의 중요성이 더욱 커졌다.

둘째, 국가 배후 공격 그룹의 세분화와 전문화다. UNC2814와 솔트 타이푼의 사례처럼, 중국 등 특정 국가 배후의 공격 주체들이 서로 다른 목적과 인프라를 가지고 독립적으로 움직이고 있다. 이는 위협 인텔리전스(TI) 공유 시 조직의 특성을 정확히 분류하고 맞춤형 대응 체계를 갖춰야 함을 의미한다.

셋째, SaaS 공급자의 책임과 공조가 핵심이다. 공격자들이 SaaS 플랫폼을 방패로 삼고 있는 만큼, 클라우드 서비스 제공업체(CSP)가 자사 플랫폼이 악용되는지 실시간 모니터링하고 전문 보안 조직과 긴밀히 협력하는 '공동 대응 체계'가 사이버 안보의 필수 요소로 자리 잡았다.