구글 "중국 스파이, 정부기관·통신사 노린다…42개국 피해" 작성일 02-27 19 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="49mZ8nyOhd"> <figure class="figure_frm origin_fig" contents-hash="842b187436c550b15f3fa40f271a27716fea42b2332ca32d518712bf6849377a" dmcf-pid="82s56LWIle" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202602/27/552796-pzfp7fF/20260227095439926xwps.jpg" data-org-width="640" dmcf-mid="fvSpeA5TCJ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202602/27/552796-pzfp7fF/20260227095439926xwps.jpg" width="658"></p> </figure> <p contents-hash="10591e6ba9282197beda88621b8a261d115fe7077b5a6b1a29354e4aa14f7160" dmcf-pid="6VO1PoYCSR" dmcf-ptype="general">[디지털데일리 김보민기자] 중국 배후 스파이 그룹이 정부 기관과 통신사를 노리고 있다는 경고가 나왔다. 공격자는 악성코드 등 신종 백도어를 활용해 시스템 침투를 시도한 것으로 나타났다.</p> <p contents-hash="2af063aba1069a99fffe390ee1271087bfbdb7e629471d2c8c78c7960b99d0f5" dmcf-pid="PfItQgGhlM" dmcf-ptype="general">구글 위협인텔리전스 그룹(GTIG)과 맨디언트는 중국 배후로 추정되는 스파이 그룹 'UNC2814'에 대한 최신 연구 결과를 27일 발표했다. 조사에 따르면 현재까지 42개국에서 53개 피해 조직이 확인됐고, 20개국에서 추가 공격 흔적이 확인됐다.</p> <p contents-hash="001f6274ff420a1c09a38db156cc3af298aa30a9feb2fb1e08e879c73c6a2c84" dmcf-pid="Q4CFxaHlhx" dmcf-ptype="general">맨디언트는 2025년 말 해당 그룹이 침투한 시스템에 장기간 머무르기 위해 신종 백도어 'GRIDTIDE'를 유포하고 있다는 사실을 확인했다.</p> <p contents-hash="08cd565c98bc4033070bda8d872ee49f847ee70d1a4fe2784b97ee032aa6b884" dmcf-pid="x8h3MNXSyQ" dmcf-ptype="general">GRIDTIDE는 C언어 기반 악성코드로, 정상적인 클라우드 스프레드시트를 C2 인프라로 전환해 피해자로부터 원시 데이터를 전송받는 기능을 수행한다. 공격자가 제어하는 구글 스프레드시트를 명령 및 제어(C2) 서버로 활용하도록 돕기도 했다.</p> <p contents-hash="8f47ce8894c56b1349b7b2377b17fa6f260a9c38e36f3e6e7e9b27b6855dff23" dmcf-pid="yl4aW0J6TP" dmcf-ptype="general">공격자는 이를 통해 공격 트래픽을 일반적인 네트워크 트래픽처럼 위장한 것이다. 정상적인 서비스 기능을 악용해 탐지를 피한 것이다. 자체 인프라를 구축하는 대신 서비스형소프트웨어(SaaS) 플랫폼을 활용하기도 했다.</p> <p contents-hash="bab9b5706d5608e0f0a65fd0f959d3cf4b043d59b28d5af73065c1c6bdaecbf5" dmcf-pid="WS8NYpiPW6" dmcf-ptype="general">UNC2814는 글로벌 통신사와 정부 기관을 표적으로 삼았다. 탈취된 데이터 전반을 확인하는 데는 한계가 있지만, 개인정보와 통화 기록, 문자 메시지 트래픽 등을 수집해 특정 인물의 통신을 식별하고 추적·감시하려 한 것으로 추정된다. 여러 침해 사례에서 국가 식별 번호와 유권자 번호 등 민감한 개인정보를 노린 정황도 드러났다.</p> <p contents-hash="0acb6c7c82a55bccaf161ceb5ac6525f362d462023267ff51e5c9d612949e252" dmcf-pid="YE7MsY4qT8" dmcf-ptype="general">구글은 공조를 통해 공격자가 제어하던 클라우드 프로젝트를 종료하고 관련 계정을 비활성화했다. 또한 현재와 과거 도메인을 싱크홀 처리해 침해된 환경으로의 접근을 차단했다. 싱크홀 처리는 해커의 명령 통로를 차단한 뒤 이를 안전한 서버로 우회 연결해 공격자의 접근을 무력화하는 방식이다.</p> <p contents-hash="97dc3ab8d17266fc3f174e1acdd3f3c6731b18c2a515554418421fff96d0f5a8" dmcf-pid="GDzROG8BC4" dmcf-ptype="general">구글은 "이번 조치로 UNC2814가 10년간 구축해 온 글로벌 인프라는 크게 후퇴할 것으로 예상된다"고 말했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 ‘셰프와 사냥꾼’ 에드워드 리, 장어 사냥에 혼자 성공…‘셰프’도 하고 ‘사냥꾼’도 하는 2인분 활약으로 MVP 등극 02-27 다음 '횡령 선처' 성시경, 日 매니저 교체…"일 잘하고 인맥 좋아" [RE:뷰] 02-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
