[딜라이트닷넷=김보민 기자] 클라우드 환경을 침투해 데이터를 탈취하거나 내부 시스템을 정찰하는 중국 연계 해킹 및 스파이 그룹의 활동이 거세지고 있다는 진단이 나왔다. 소프트웨어(SW) 취약점을 악용하는 경우가 다수인 만큼, 정기 업데이트와 패치가 기본 보안조치가 될 수 있을 것으로 보인다.

26일 보안업계에 따르면, 최근 중국 연계 스파이 그룹 중 머키판다, 실크타이푼, 제네시스판다, 글래시얼판다 등의 활동이 활발해지기 시작했다. 글로벌 보안기업 크라우드스트라이크는 지난 21일 분석을 통해 특히 '머키판다'의 행동을 예의주시해야 한다고 밝혔다. 크라우드스트라이크는 "지난해 말부터 머키판다가 정부, 기술, 학계, 법률 및 전문 서비스 기관을 표적으로 삼고 활동을 전개한 점을 관찰했다"며 "이들은 민감 정보에 접근한 뒤 이를 수집하기 위해 작전을 수행할 가능성이 높다"고 설명했다.

머키판다는 2023년부터 활동을 전개한 것으로 알려진 중국 연계 스파이 그룹으로, 클라우드 환경의 신뢰 관계를 악용해 침투를 시도하는 것이 특징이다. 크라우드스트라이크는 "머키판다는 클라우드 환경뿐만 아니라, 애플리케이션 로직에 대한 광범위한 지식을 갖고 있다"며 "(공식적인 보안 대응책이 존재하지 않은) '제로데이' 취약점을 무기화하는 방식으로 상당한 능력을 보여주고 있고, 인터넷에 연결된 기기를 악용해 (목표) 대상에 대한 초기 접근을 얻기도 한다"고 부연했다.

클라우드 환경에서 서비스형소프트웨어(SaaS) 및 애플리케이션을 활용하는 사례가 늘어나자, 중국 연계 그룹 또한 이를 악용하기 시작했다는 취지다. 크라우드스트라이크는 "머키판다는 다른 중국 연계 그룹과 마찬가지로 인터넷에 연결된 기기를 이용했을 뿐 아니라, 소규모 사무실 혹은 재택근무용 기기를 해킹해 운영 인프라로 활용했을 가능성이 높다"고 말했다.

취약점을 발견할 경우, 이에 맞는 맞춤형 공격을 가하기도 했다. 크라우드스트라이크에 따르면 머키판다는 넷스케일러 게이트웨이 등 알려진 보안 결함을 악용하고, 초기 접근을 통해 웹셸(웹 서버에 올라온 악성 스크립트 파일)을 배포한 뒤 맞춤형 멀웨어를 유포하는 것으로 확인됐다. 클라우드 공급업체를 위협한 뒤, 고객 및 파트너로 연쇄 위협을 가하고 있다는 점도 드러났다.

크라우드스트라이크는 대규모 데이터 및 권한 탈취, 내부 시스템 침투 예방을 위해서는 기본적인 보안 조치가 선행돼야 한다고 강조했다. 크라우드스트라이크는 "클라우드 환경에서 SW를 정기적으로 업데이트해 취약점이 적시에 패치되도록 하고, 호스팅된 애플리케이션의 설계와 구현 결함을 정기적으로 평가할 필요가 있다"며 "원격코드실행(RCE) 등 취약점에 대한 패치를 우선적으로 적용해야 한다"고 말했다. 이어 "모든 장치를 최신 SW 수준으로 유지하고 공급업체 지침을 따라달라"며 "악용되기 쉬운 장치의 경우, 면밀히 모니터링하고 비정상적인 로그인 활동을 조사해야 한다"고 제언했다.