중국 연계 의심 APT 그룹 ‘티에이 섀도우크리켓’ 추적 결과 발표
전 세계 시스템 침투해 통제권만 획득한 것이 특징

[보안뉴스 조재호 기자] 지난 13여년간 활동해온 APT 그룹 전모가 드러났다. ‘티에이 섀도우크리켓’은 전 세계 2000여대 서버에 침투해 금전 요구나 데이터 유출 등의 행동 없이 시스템 장악만 진행한 것이 특징이다.


▲안랩-NCSC의 APT 그룹 추적보고서 표지 [자료: 안랩]

안랩과 국가사이버안보센터(NCSC)는 23일 이같은 내용을 골자로 한 ‘APT 그룹 추적보고서’를 발표했다.

이에 따르면 ‘티에이 섀도우크리켓’(TA-ShadowCricket)은 지난 2012년경 활동을 시작한 것으로 추정된다. 중국 연계가 의심되는 APT 그룹으로 관련 정보가 거의 없어 보안 업계에서도 주목받지 않았던 조직이다.

이 조직은 금전 요구나 정보 유출 등 일반적인 해킹에서 흔한 악성 행위 없이 조용히 시스템만 장악했다. 다만, 언제든지 디도스 공격이나 추가 침해에 활용할 수 있는 상태를 유지한 것이 특징이다.

이번 분석에서 섀도우크리켓은 외부에 노출된 윈도우 서버의 원격접속(RDP) 기능이나 데이터베이스 접속(MS-SQL)을 노려 시스템에 침투했다. 감염 이후에는 시스템을 원격으로 조종할 수 있는 악성코드를 설치해 공격자의 서버와 연결했다. 이 악성코드는 감염된 시스템에서 명령 자동 수행과 정보 탈취, 추가 악성코드 설치 등 다양한 악성 행위가 가능하다.

조사단이 섀도우크리켓에서 실제 운영하던 서버를 확보해 추적했는데, 2000개 이상의 피해 시스템이 연결돼 있었다. 이 중에는 실제로 운영 중인 시스템도 포함돼 있었다.

안랩은 피해 예방을 위해 윈도우와 MS-SQL서버, 원격 접속 기능 등을 최신 상태로 업데이트하고, 외부에서 접근할 수 있는 설정이 열려 있는지 점검하는 것을 권고했다. 특히, 비밀번호는 영문과 숫자, 특수문자를 조합해 설정하고, 가능한 다단계 인증을 적용해야 한다고 덧붙였다.

이명수 안랩 ASEC A-FIRST 팀장은 “이번 공격은 수천 개의 피해 시스템과 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며 “장기간 통제되고 있는 감염 시스템은 언제든 실제 공격에 활용될 수 있어, 악성코드 제거와 서버 무력화 등의 대응이 중요하다”고 말했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>