서울 Google Threat Intelligence Group(GTIG)과 맨디언트(Mandiant)가 업계 파트너들과 협력해 중국 배후로 추정되는 스파이 활동 그룹 ‘UNC2814’의 인프라를 무력화한 내용을 담은 최신 연구 결과를 발표했다.

GTIG는 전 세계 42개국에서 UNC2814에 의한 53건의 침해 사례를 확인했으며, 그 외 20여 개국에서도 공격을 준비하거나 정찰 활동 등을 진행한 타겟팅 정황을 포착했다.

최근 여러 언론에서 통신사 및 정부 기관을 노리는 ‘솔트 타이푼(Salt Typhoon)’에 대한 기사가 게재됐으나, GTIG는 UNC2814와 솔트 타이푼 사이의 연관성이 발견되지 않았다고 밝혔다. GTIG는 지난 10여 년간 UNC2814를 추적해 왔으며, 이들은 고유한 전술과 인프라를 사용해 전혀 다른 유형의 피해자들을 공격하는 독립적인 그룹이라고 판단하고 있다.

맨디언트가 2025년 말 해당 그룹이 침투한 시스템에 보다 오래 머물기 위해 ‘GRIDTIDE’라 불리는 신종 백도어를 유포하고 있다는 사실을 파악하면서, UNC2814의 캠페인 활동에 대한 분석이 급물살을 타기 시작했다.

GTIG 분석에 따르면 GRIDTIDE는 공격자가 제어하는 구글 스프레드시트(Google Sheets)를 명령 및 제어(C2) 서버로 활용하며, 이를 통해 공격 트래픽을 일반적인 네트워크 트래픽으로 위장한다.

이는 구글 스프레드시트의 보안 취약점이나 결함을 이용한 것은 아니며, 탐지를 회피하기 위해 정상적인 서비스 기능을 악용한 사례에 가깝다. 또한 자체 인프라를 구축하는 대신 SaaS 플랫폼을 악용해 성과를 거두는 최신 공격 트렌드의 일환이기도 하다.

주요 조사 결과

· 공격 대상: UNC2814는 주로 글로벌 통신사와 정부 기관을 노렸다. 도난당한 데이터에 대한 가시성이 제한적이긴 하나 개인정보, 통화 기록, 문자 메시지 트래픽 등의 데이터를 탈취해 특정 인물의 통신을 식별하고 추적 및 감시하려 한 것으로 추정된다. 여러 침해 사례에서 이들은 국가 식별 번호 및 유권자 번호와 같은 민감한 개인정보를 노렸다.

· 공격 규모: 현재까지 42개국에서 53개의 피해 조직을 확인했으며, 20여 개국에서 추가적인 타겟팅 증거를 확보했다.
- UNC2814는 최소 2017년부터 활동하며 글로벌 거점을 구축해 왔고, 이번 무력화 조치가 이들의 방대한 공격 활동에 상당한 타격을 줄 것으로 예상된다.
- 이는 GTIG가 최근 몇 년간 접한 캠페인 중 가장 영향력이 크고 광범위한 사례 중 하나다.
- GTIG는 공격받은 기관들에 공식 피해 통보를 완료했으며, 피해가 확인된 조직들을 적극적으로 지원하고 있다.

· 인프라 폐쇄: 구글은 공조를 통해 공격자가 제어하는 모든 클라우드 프로젝트를 종료하고, 알려진 계정을 비활성화했으며, 현재 및 과거 도메인을 싱크홀 처리해 침해된 환경으로의 접근을 차단했다. 이번 조치로 UNC2814가 10년 동안 구축해 온 글로벌 인프라가 크게 후퇴할 것으로 예상된다.
※ 싱크홀(sinkhole) 처리: 해커가 명령을 내리는 통로를 차단하고 다른 안전한 곳으로 연결해 공격자의 접근을 무력화하는 기법

· 신종 백도어: GRIDTIDE는 C 언어 기반의 악성코드로, 정상적인 클라우드 스프레드시트를 C2 인프라로 변환해 피해자로부터 원시 데이터(raw data)를 전송받는 기능을 수행한다.
- 이번 캠페인에서는 구글 스프레드시트가 사용됐지만, GTIG는 이 구조가 가변적이어서 ‘공격자가 다른 클라우드 기반 스프레드시트 도구도 동일한 방식으로 쉽게 악용할 수 있다’고 경고했다.
- 분석된 샘플에 따르면 이 백도어의 최초 배포 시점은 2025년 말이지만, 새롭게 공개된 침해 지표(IOC)와 탐지 신호를 바탕으로 과거의 침해 사례들이 추가로 드러날 것으로 보인다.

웹사이트: https://cloud.google.com/?hl=ko