▲ 안랩·국가사이버안보센터 APT 그룹 추적 보고서
안랩과 국정원 국가사이버안보센터(NCSC)는 오늘(23일) 중국과 연관된 것으로 추정되는 APT(지능형지속공격) 그룹 '티에이 섀도우크리켓'의 사이버 공격 활동을 공동으로 추적 분석한 보고서를 발표했습니다.
새도우크리켓은 2012년부터 활동을 시작한 것으로 추정되며, 외부에 노출된 윈도 서버의 원격 접속 기능이나 데이터베이스 접속을 노려 시스템에 침투해 전 세계 2천 대 이상의 감염된 시스템을 통제해 오고 있었던 것으로 나타났습니다.
특히 이들은 금전 요구나 정보 유출 등 일반적 해킹에서 나타나는 행위 없이 침투 후 오랜 기간 은밀히 시스템 장악 상태를 유지하는 방식으로 활동한 것이 특징이라고 보고서는 지적했습니다.
이 그룹은 비밀번호를 무작위로 시도하는 방식으로 침투한 뒤 시스템을 원격으로 조종할 수 있는 백도어 악성코드를 설치하고, 이를 정상 실행파일 내부에 삽입해 사용자가 의심 없이 실행하도록 만듭니다.
안랩과 NCSC는 이 그룹의 서버에 실제 운영 중인 중요한 시스템을 포함해 2천 개 이상 피해 시스템이 연결돼 있었고, 필요시 분산 서비스 거부(DDos) 공격 등 추가 침해에 활용할 수 있는 상태로 유지 중이었다고 확인했습니다.
국가별로는 중국 895대, 한국 457대, 인도 98대, 베트남 94대, 타이완 44대, 독일 38대, 인도네시아 37대, 태국 31대, 미국 25대 등이었습니다.
피해 예방을 위해 사용자는 윈도 운영체제 등을 최신 상태로 업데이트하고, 외부에서 접근 가능한 설정이 열려 있는지 점검해야 한다고 제언했습니다.
비밀번호는 복잡하게 설정하고, 가능한 경우 다단계 인증을 적용해야 합니다.
(사진=안랩 제공, 연합뉴스)
댓글 아이콘댓글