공격자가 통제하던 구글 클라우드와 계정 폐쇄... 악성 구글 시트 API 호출 차단

[보안뉴스 김형근 기자] 전 세계 42개국, 53개 이상의 기관을 침해하고 20개국 이상에서 감염 흔적이 포착된 중국 연계 스파이 조직 ‘UNC2814’의 인프라가 구글 위협 인텔리전스 그룹(GTIG)과 맨디언트(Mandiant)의 연계 작전에 소탕됐다.


구글에 따르면 UNC2814는 주로 아프리카, 아시아, 아메리카 지역의 정부 기관과 글로벌 통신업체를 타깃으로 삼아 장기간 스파이 활동을 벌여왔다.

신종 백도어 ‘그리드타이드’ 사용... 구글 시트 API를 명령제어 채널로 악용
공격의 핵심은 그리드타이드(GRIDTIDE)라는 신종 백도어로, 구글 시트(Google Sheets) API를 명령 제어(C2) 채널로 악용하는 수법을 썼다. 또한 정상적인 클라우드 서비스 트래픽으로 위장함으로써 보안 시스템의 감시를 피하고 쉘 명령 실행과 데이터 전송을 수행했다. 구글 시트의 특정 셀(A1, A2 등)에 역할을 부여해 명령을 내리고 상태를 보고받는 정교한 폴링(Polling) 메커니즘을 구사했다.

초기 침투 경로는 조사 중에 있다. 주로 웹 서버와 네트워크 에지(Edge) 시스템의 취약점을 공략한 이력을 가지고 있다. 침투 후에는 서비스 계정을 탈취해 내부망에서 측면 이동)을 하며, SSH를 통해 권한을 크게 확장했다. 또한 소프트이더(SoftEther) VPN 브릿지를 설치해 외부 IP와 암호화된 연결을 설정하는 등 중국계 해킹 조직 특유의 수법을 보여주었다.

구글은 공격자가 통제하던 모든 구글 클라우드 프로젝트와 계정을 폐쇄하고, 악성 구글 시트 API 호출을 완벽하게 차단했다.

이번 캠페인은 최근 몇 년간 발견된 사례 중 가장 광범위하고 영향력이 큰 것으로 평가되며, 구글은 피해 기관들을 적극적으로 지원하고 있다. 구글은 UNC2814가 비록 인프라는 파괴됐으나, 글로벌 거점을 재구축하기 위해 노력할 것으로 보고 지속적인 감시를 강조했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>