logo
logo
“조용한 해커·봇넷 위협”…안랩·NCSC, 장기침입 실태 분석→선제 대응 촉구
IT/바이오

“조용한 해커·봇넷 위협”…안랩·NCSC, 장기침입 실태 분석→선제 대응 촉구

정유나 기자
입력

안랩과 국가사이버안보센터가 심층적으로 분석한 ‘티에이 섀도우크리켓(TA-ShadowCricket)’의 잠복형 사이버 공격 실태가 산업계에 깊은 경각심을 불러일으키고 있다. IT/바이오 생태계의 기반 인프라를 조용하게 장악한 이 해킹 그룹은 전통적인 금전 요구나 정보 탈취와는 결이 다른 목적성으로, 시스템을 장기간 브루트포스 공격과 백도어 악성코드로 통제하고 있었다. 13년간 노출된 적 없이 수천 개 글로벌 시스템을 은밀히 장악한 ‘조용한 해커’의 실체는 보이지 않는 디지털 위협의 새로운 양상을 입증한다.

 

티에이 섀도우크리켓은 2012년부터 활동을 지속한 것으로 파악되며, 안랩과 NCSC의 공동 보고서에 따르면 실제 피해 시스템은 2000여 대 이상, 이 중 한국 내 감염 시스템만 457대에 이른다. 침투 방식은 윈도 서버의 RDP 및 MS-SQL 포트를 무작위 대입 공격(Brute-force)으로 공략한 뒤, 정상적인 EXE 파일 내부에 악성코드를 은닉해 장기적인 통제가 가능토록 설계돼 있었다. 연구팀이 발견한 백도어 악성코드는 명령·제어(C&C) 서버와 상시 연결을 유지하며, 별도의 추가 침입 없이도 원격 조작과 정보 탈취, 봇넷 구성 등 다양한 공격이 가능함이 확인됐다. 감염 시스템은 중국, 한국, 인도, 베트남, 미국 등 72개국에 분포하며, IRC 기반의 분산 네트워크로 일종의 공격 예비군 역할을 수행하는 것으로 나타났다.

조용한 해커·봇넷 위협”…안랩·NCSC, 장기침입 실태 분석→선제 대응 촉구
조용한 해커·봇넷 위협”…안랩·NCSC, 장기침입 실태 분석→선제 대응 촉구

이명수 안랩 ASEC A-FIRST팀장은 “수천 개 시스템과 C&C 서버가 장기간 통제됐음에도 교묘히 은폐된 이번 사례는 국내외 보안 환경의 빈틈을 증명했다”고 지적했다. 전문가들은 윈도우·MS-SQL·원격접속 서버의 주기적 패치와 복잡한 관리자 비밀번호 설정, 다단계 인증(MFA) 도입, 악성코드 탐지와 C&C 서버 차단 등 기초적인 보안 체계를 강화해야 함을 강조한다. 13년에 걸친 대규모 은닉 감염 사례는 IT·바이오 기반 시설에 내재한 만성적 위협을 드러내며, 선제적 사이버 위기 관리의 필요성이 어느 때보다 부각되고 있다.

정유나 기자
share-band
밴드
URL복사
#안랩#ta-shadowcricket#ncsc