IT 안랩-NCSC “침묵형 장기 감염…ShadowCricket 선제 대응 시급”

안랩과 국가사이버안보센터(NCSC)가 중국 연계 가능성이 있는 지능형 지속 공격(APT) 조직 ‘TA-ShadowCricket’의 활동을 공동 분석한 추적 보고서를 발표했다. 이 그룹은 최소 2012년부터 활동을 시작해 외부에 노출된 윈도우 서버의 원격 접속(RDP) 기능과 MS-SQL 데이터베이스를 노려 침투한 뒤, 전 세계 2천 대 이상의 시스템을 조용히 장악해온 것으로 나타났다. 안랩 ASEC과 NCSC는 2023년부터 최근까지의 추적 결과를 바탕으로, 이들이 브루트포스(무차별 대입) 방식으로 시스템에 접근한 후 백도어 악성코드로 C&C 서버와 연결된 감염 시스템을 장기적으로 조종해온 정황을 확인했다. 특히, 정상 EXE 파일에 백도어를 삽입하는 방식으로 탐지를 회피해 감염된 시스템을 봇넷으로 활용할 수 있는 상태로 유지해온 점이 주목된다. 보고서에 따르면, 이 공격 그룹은 금전적 요구나 정보 유출 없이 침투 후 오랜 기간 흔적을 남기지 않고 시스템을 통제해온 방식으로 활동했다. 이는 전형적인 APT 특성과 맞닿아 있다. 안랩과 NCSC가 확보한 C&C 서버에는 실제 운영 중인 중요 시스템을 포함한 2천여 대의 피해 시스템이 연결돼 있었고

• 구서경 기자
• 2025-05-24 09:58