구글 클라우드 "핵심 인프라 공격은 국가 스파이 활동 중심"

구글클라우드 '맨디언트 M-트렌드' 공개
자주 관찰된 공격은 중국 배후 추정 해킹 그룹
"침해 사실 인지한 경로 69%가 외부였다"

▲심영섭 구글클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄은 27일 서울 중구 서울스퀘어에서 '맨디언트 M-트렌드(M-Trends) 2025' 미디어 브리핑을 열었다. (이은주 기자 letswin@)

"공공, 통신, 방위 등 핵심 인프라에 대한 공격이 에지 디바이스로 발생하고 있습니다. 이러한 경우 개인정보보다는 국가 스파이 활동에 초점이 있습니다."

심영섭 구글클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄은 27일 서울 중구 서울스퀘어에서 '맨디언트 M-트렌드(M-Trends) 2025' 미디어 브리핑을 열고 이 같이 말했다. 이날 구글클라우드는 맨디언트 M-트렌드 2025 보고서 보고서를 통해 글로벌 사이버 위협 추이를 공개했다. M-트렌드 2025 보고서는 지난해 동안 발생한 사이버 표적 공격 활동에 대해 구글클라우드 맨디언트의 사고 대응 조사 결과를 기반으로 한다.

심 총괄은 "SK텔레콤을 저희가 조사하고 있지는 않다"면서도 "다양한 글로벌 통신사(를 대상으로 한 사이버 공격) 대부분은 오래 잠복하면서 주로 통신 감청에 목적을 둔 경우가 많았다"고 설명했다.

또한, 구글 클라우드는 러시아 및 중국 정부와 연계된 것으로 추정되는 조직들의 사이버 공격 시도가 눈에 띄게 증가했다고 경고했다.

JAPAC 지역에서 가장 자주 관찰된 공격자는 UNC3886과 UNC5221였다. 중국 배후로 추정되는 UNC5221은 주로 이반티(Ivanti) 가상사설망(VPN) 공격 그룹이다. 표적 지역은 미국, 유럽, 일본, 한국이며, 표적 대상은 정부 공공기관과 통신회사, 금융 및 기술 기업이다.

주요 공격 기법은 이반티 제로데이 취약점을 악용하는 것이다. 백도어를 설치하고 이반티에서 계정 정보를 획득한 후 도메인 컨트롤러 서버에 침투해 내부 정보를 도·감청하는 방식이다. 주로 자격 증명이나 이메일 등 데이터를 노렸다.

UNC3886은 포티게이트 장비와 VM웨어를 공격한다. 근거지는 중국으로 추정된다. 주요 표적 지역은 미국, 유럽, 동남아시아, 호주, 일본, 한국 등이다. 가장 많이 표적으로 삼는 산업은 방위이며, 통신 회사, 정부 공공기관 등도 자주 공격했다.

보고서에 따르면, 아시아태평양 및 일본(JAPAC) 지역 기업들이 침해 사실을 인지한 경로는 69%가 외부 기관을 통해서였다. 이 중 33%는 공격자로부터 직접 통보를 받은 경우로, 이는 랜섬웨어 공격에 주로 해당했다.

지난해 발생한 사이버 공격의 가장 흔한 초기 감염 경로는 취약점 공격이 33%로 5년 연속 1위였다. 자격 증명 탈취가 16%로 2위를 기록했다. 이메일 피싱(14%), 웹사이트 침해(9%) 등이 뒤를 이었다.

심 총괄은 "공격자가 누군지 추적하는 것도 중요하지만, 최대한 빨리 (공격 사실을) 발견하고 최초 침입은 막지 못하더라도 피해를 보지 않도록 하는 대응하는 솔루션 도입이 필요하다"고 했다.