마이크로소프트 분석 결과, CVE-2025-10035 등 패치 전 제로데이 결함 악용 확인
침투 성공 후 24시간 내 메두사 랜섬웨어 배포... 미국·영국·호주 의료·금융 정밀 타격

[보안뉴스 김형근 기자] 중국 정부와 연계된 고도화된 해킹 조직 ‘Storm-1175’가 제로데이(Zero-Day) 및 N-데이 취약점을 정교하게 조합한 초고속 공격을 전개하며 글로벌 보안 생태계를 위협하고 있다.


[출처: gettyimagesbank]

마이크로소프트(MS) 위협 인텔리전스 팀의 최신 조사 결과에 따르면, 이들은 보안 패치가 배포되기 전인 취약점 ‘CVE-2025-10035’ 등을 악용해 시스템을 장악한 것으로 확인됐다. 지난 2023년을 기점으로 MS 익스체인지(Exchange) 서버 등을 포함해 16개 이상의 심각한 보안 결함을 지속적으로 악용해 온 정황도 포착됐다.

Storm-1175의 특징은 압도적인 ‘공격 템포’다. 이들은 인터넷에 노출된 취약한 자산을 빠르게 식별한 뒤 미국, 영국, 호주 등의 의료 및 금융 분야의 기업들을 표적으로 삼았다.

시스템 침투에 성공하면 지체 없이 내부망을 장악했는데, 사나흘 이내에 메두사(Medusa) 랜섬웨어를 배포하는 방식이다. 또, 단일 취약점에 의존하지 않고, 여러 보안 결함을 결합한 체이닝(Chaining) 기법으로 방어망을 무력화했다. 최근에는 리눅스와 오라클 웹로직(Oracle WebLogic) 인스턴스까지 공격 범위를 넓혔다.

공격의 은밀성을 유지하기 위한 회피 기법도 다양했다. 엔드포인트 보안 솔루션의 정상적인 작동을 방해하고, 마이크로소프트 디펜더(Microsoft Defender)에 임의의 예외 설정을 추가하는 방식이다. 피해자의 내부 데이터를 수집하고 압축하는 데에는 ‘반디집(Bandizip)’을, 탈취한 데이터를 외부 서버로 유출하는 과정에는 ‘알클론(Rclone)’을 활용하는 등 일반 소프트웨어를 사이버 범죄에 악용하기도 했다.

보안 전문가들은 이 조직의 비상식적으로 빠른 운영 템포가 가장 심각한 위협 요인이라고 입을 모은다. 기업 보안팀이 취약점 정보를 수집하고 시스템에 패치를 적용하기도 전에 침투와 암호화 과정을 모두 완료해 버려, 치명적인 보안 공백을 야기하고 있기 때문이다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>