구글, UNC2814 차단: 중국 스파이 캠페인이 통신사와 정부 공격

구글, 중국의 대규모 사이버 스파이 활동 차단

구글의 위협 분석 그룹(Threat Analysis Group, TAG)은 중국과 연계된 것으로 의심되는 위협 행위자 UNC2814의 장기간 지속된 사이버 스파이 캠페인을 성공적으로 차단했습니다. 이 조직은 2017년 이후부터 활동해 왔으며, 42개국의 통신 서비스 제공업체, 정부 기관, 주요 인프라를 대상으로 공격해 왔습니다.

캠페인의 기술적 세부 사항

구글은 전체적인 침해 지표(Indicators of Compromise, IOCs)를 공개하지 않았지만, 이번 공격은 이전에 문서화된 중국 국가 지원 사이버 스파이 전술과 일치하는 것으로 나타났습니다. UNC2814는 다음과 같은 방법을 활용한 것으로 추정됩니다:

• 악성 첨부 파일 또는 링크가 포함된 스피어 피싱 이메일
• 널리 사용되는 소프트웨어의 제로데이 취약점
• 신뢰할 수 있는 공급업체를 공격하는 공급망 공격
• 탐지를 회피하기 위한 Living-off-the-land (LotL) 기법

이 조직의 인프라는 지속성과 차단 회피를 위해 **불법 호스팅 제공업체(bulletproof hosting providers)**와 패스트 플럭스 DNS 기법을 사용한 것으로 관찰되었습니다.

영향 및 공격 대상 범위

이 캠페인의 주요 목적은 정보 수집과 장기간 감시로 보이며, 특히 다음 분야를 중점적으로 공격했습니다:

• 통신사 (통화 데이터 가로채기 또는 네트워크 매핑을 위한 가능성이 높음)
• 정부 기관 (외교, 국방, 경제 분야)
• 주요 인프라 (에너지, 교통, 금융 서비스)

구글의 차단 노력에는 **명령 및 제어(C2) 서버의 싱크홀링(sinkholing)**과 산업 파트너와의 협력이 포함되었습니다. 그러나 이 조직의 활동 이력을 고려할 때, 보안 연구원들은 전술이 개선된 지속적인 활동을 예상하고 있습니다.

조직을 위한 권고 사항

고위험 분야에 있는 보안 팀은 다음 조치를 취해야 합니다:

• 피싱 방어 강화 (다중 인증, 이메일 필터링, 사용자 교육)
• 네트워크 내 비정상적인 측면 이동(lateral movement) 또는 권한 상승 모니터링
• 제로데이 취약점을 포함한 알려진 취약점 신속하게 패치
• 잠재적인 침해를 제한하기 위한 네트워크 세분화 구현
• 공급망 보안 검토를 통해 제3자 침해 방지

구글 TAG는 UNC2814의 활동을 지속적으로 추적하고 있으며, 이와 관련된 의심스러운 활동을 발견한 조직은 신고할 것을 권장합니다. 추가 기술 세부 정보는 조사 진행에 따라 공개될 예정입니다.