중국 연계 해킹 조직 APT41, 아프리카 정부 겨냥 대규모 첩보 공격

아프리카 IT 시스템 겨냥 침투…단순 해킹 넘어선 안보 위협
정교한 도구·수법 동원…합법 서비스까지 악용 은닉·확산

[보안뉴스 여이레 기자] 중국 정부와 연관된 것으로 알려진 해킹 조직 APT41(일명 더블 드래곤)이 아프리카 정부 IT 시스템을 대상으로 대규모 사이버 첩보 작전을 벌이고 있는 것으로 확인됐다. 이번 공격은 단순한 해킹을 넘어 아프리카 정부 인프라에 대한 본격적인 침투라는 점에서 중대한 안보 사안으로 떠오르고 있다.

[자료: gettyimagesbank]

APT41은 중국계 사이버 위협 그룹 중에서도 국가 주도 첩보사업과 개인적 금전 이득을 위한 범죄 행위를 동시에 수행하는 것으로 악명 높다. 최소 2012년부터 국제적으로 활동해왔으며 해킹과 보안 우회, 데이터 탈취, 랜섬웨어 감염, 암호화폐 탈취 등 다양한 수법을 활용했다.

이번 아프리카에 대한 공격은 보안업체 카스퍼스키에 의해 처음 포착됐다. 악성코드 분석 결과 내부 시스템 IP, 서비스명, 프록시 주소 등 세부 정보가 악성코드에 하드코딩돼 있었던 것으로 드러났다. 명령제어(C2) 서버로는 내부 쉐어포인트(SharePoint) 서버까지 악용됐으며, 해커들은 이를 통해 데이터 유출 경로와 내부 명령 전달에 활용했다.

APT41은 이번 사이버 첩보전에서 다양한 해킹 도구와 수법을 정교하게 활용하고 있다. 공격자들은 Pillager, Checkout, RawCopy, Mimikatz, Impacket 등의 도구를 통해 자격 증명, 내부 문서, 통신 기록 등 민감 데이터를 대량으로 수집했다.

내부 시스템을 장악한 뒤에는 코발트스트라이크를 이용해 C2 통신을 수행하고 악성코드를 배포했다. 특히 Impacket 툴킷에 포함된 Atexec 및 WmiExec 모듈 등은 정식 시스템 관리 기능을 악용하는 데 사용돼 합법적 프로세스로 위장해 내부 확산을 시도했다.

더불어 조직 내에서 운영 중이던 쉐어포인트와 같은 합법적 내부 서비스를 은닉 통로로 활용해 탐지를 회피하고 데이터를 외부로 유출했다.

DLL 사이드로딩 기법도 함께 활용됐다. 악성 DLL은 일본어, 한국어, 중국어 등의 특정 언어팩이 설치된 시스템은 피해가도록 설정됐다. 이는 APT41이 명확한 타깃을 선별해 공격을 감행했음을 시사한다.

보안 전문가들은 이번 APT41의 공격을 단순한 보안 위협이 아닌 외교·산업·정보 안보 측면에서도 국제사회에 대한 경고로 평가하고 있다. 그동안 아시아, 유럽, 북미 등에서 암약해왔던 APT41이 아프리카까지 겨냥하고 나서면서 중국 연계 해킹 조직이 활동 범위를 넓히고 있음을 보여준다.

데니스 쿨릭 카스퍼스키 MDR(Managed Detection and Response) 수석 SOC 분석가는 “일반적으로 이러한 정교한 공격에 대한 방어는 포괄적인 전문 지식과 전체 인프라에 대한 지속적인 모니터링 없이는 불가능하다”며 “악성 활동을 조기에 자동으로 차단하고 사용자 계정에 과도한 권한이 부여되지 않도록 하는 솔루션을 통해 모든 시스템에 대한 완벽한 보안 범위를 유지하는 것이 중요하다”고 전했다.

[여이레 기자(gore@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다