아시아 핵심 인프라 겨냥한 웹서버 취약점과 Mimikatz 공격: 새로운 중국계 위협 그룹의 정밀 침투 분석

서론: 아시아 인프라를 노린 새로운 위협

최근 사이버 보안 업계에 경고음이 울리고 있습니다. Palo Alto Networks Unit 42의 조사 결과, 이전에 알려지지 않았던 중국계 위협 활동 그룹이 남부, 동남부, 동아시아의 주요 인프라를 대상으로 수년간 지속적인 공격을 수행한 것으로 확인되었습니다. 이 그룹은 항공, 에너지, 정부, 법집행, 제약, 기술, 통신 등 다양한 산업을 겨냥하여 정밀하게 침투하고 있어 보안 전문가들의 우려가 커지고 있습니다.

1. 캠페인 개요 및 타깃 산업

이번에 발견된 사이버 공격 캠페인은 아시아 전역의 핵심 인프라를 대상으로 한 대규모 지속적 위협으로 평가됩니다. 표적 산업은 다음과 같이 다양합니다:

• 항공 산업: 항공사 및 관련 정부 기관
• 에너지 부문: 석유, 가스, 전력 인프라 기업
• 정부 기관: 중앙 및 지방 정부, 법집행 기관
• 제약 산업: 대형 제약 회사 및 의료 연구기관
• 기술 및 통신: IT 기업, 통신사, 스타트업

이처럼 여러 산업을 겨냥하는 공격은 단순한 기회주의를 넘어 국가적 지원의 조직적 침투가 이루어지고 있음을 시사합니다.

2. 공격자 식별: 미확인 중국계 위협 그룹

Palo Alto Networks Unit 42 연구진은 해당 공격 캠페인을 수행한 그룹을 “기존 보안 커뮤니티에 알려지지 않은” 새로운 활동 그룹으로 확인했습니다. 이 그룹은 다음과 같은 특성을 지닙니다:

• 오랜 기간 활동: 수년간 이어진 캠페인으로 초기 침투 시점이 오래전으로 추정됨
• 높은 은폐력: 기존 보안 솔루션과 인텔리전스 데이터베이스에 탐지되지 않도록 움직임을 숨김
• 목적 지향적 전략: 단발성 공격이 아닌 장기간 침투와 정보 탈취 목표의 조직적 작전(APT 방식)

이 그룹이 최근에야 확인된 것은 은밀성을 강조하며 기존 보안 체계로는 탐지가 어려운 특이한 공격 방식을 사용한 결과입니다.

3. 사용된 주요 기술: Mimikatz와 웹서버 취약점

3.1 Mimikatz 활용

Mimikatz는 Windows 시스템에서 자격 증명 정보를 탈취하는 데 사용되는 도구로, 아래와 같은 기능을 가집니다:

• 메모리에서 평문 비밀번호 추출
• NTLM 해시 및 Kerberos 티켓 탈취
• 패스-해시(Pass-the-Hash), 패스-티켓(Pass-the-Ticket) 공격 가능
• 관리자 권한 및 네트워크 내 확장적 권한 탈취

이 도구를 활용해 공격자는 시스템 관리자 계정 정보를 확보하고, 내부 네트워크를 자유롭게 이동하며 추가 피해를 확장할 수 있습니다.

3.2 웹서버 취약점(익스플로잇) 활용

공격의 첫 진입 경로로 웹서버 취약점이 사용되었습니다. 구체적 취약점 유형은 공개되지 않았으나, 일반적으로 다음과 같은 기법이 활용됩니다:

• 웹 애플리케이션 취약점(SQL 인젝션, 크로스사이트 스크립팅 등) 악용
• 서버 설정 미비 또는 보안 패치 누락을 통한 원격 코드 실행
• 외부에 노출된 웹서버를 이용해 내부 네트워크 접근

웹서버는 외부에 열려 있기 때문에 가장 먼저 노출되며, 취약점 활용을 통해 내부망으로의 침투 기반을 마련하는 것은 APT 그룹의 대표적 전략입니다.

4. 침투 및 피해 양상 분석

공격의 전체적인 침투 패턴은 아래와 같이 분석됩니다:

1단계: 초기 침입
웹서버 취약점을 통해 외부 접근 지점을 확보하고, 내부로 연결된 서버를 식별하여 침투 기반을 마련합니다.

2단계: 자격 증명 탈취
Mimikatz 등 도구로 관리자 권한을 탈취하며, 네트워크 내 다른 시스템으로의 접근 권한을 확장합니다.

3단계: 횡적 이동과 확산
탈취한 자격 증명을 활용해 네트워크 전체로 이동하며 중요 서버와 데이터에 접근합니다.

4단계: 데이터 탈취 및 장기 체류
목표 데이터를 수집하고 외부로 유출하며, 오랜 기간 네트워크 내에 잠복해 추가 정보를 지속적으로 얻습니다.

5. 산업별 피해 사례 및 침투 범위

이번 캠페인은 특정 산업에 국한되지 않고 아시아 각국의 다양한 핵심 인프라를 표적으로 했다는 점이 특징입니다. 실제 피해가 확인된 산업은 다음과 같습니다:

항공 산업: 항공사 예약 시스템과 여객 정보 관리 시스템이 공격을 받았으며, 대규모 개인정보 유출 위험이 존재합니다.

에너지 부문: 발전소, 석유/화학 시설의 운영 네트워크(OT)가 침투 대상이 되었고, 이는 국가 안보에 중대한 위험을 초래할 수 있습니다.

정부 및 법집행: 정부 기관 내부문서 및 민감 정보의 탈취가 발생했으며, 법집행 기관의 데이터는 국가안보와 직접적으로 연결됩니다.

제약 및 의료: 신약 개발 데이터, 임상시험 결과 등 지적 재산권 탈취 목적의 공격이 이루어졌습니다.

기술 및 통신: 기술기업 소스코드와 통신사의 사용자 데이터 탈취가 확인됩니다.

6. 실무 보안조치 및 위협 인텔리전스 시사점

이번 사례는 보안 실무자에게 다음과 같은 중요한 시사점을 줍니다:

6.1 즉각적인 보안 강화 조치

• 웹서버 패치 관리: 웹서버 및 관련 애플리케이션에 최신 보안 패치 즉시 적용
• 네트워크 분리: 웹서버와 내부망을 엄격히 분리하여 횡적 이동 차단
• 계정 보안 강화: 관리자 계정에 다단계 인증(MFA) 적용 및 주기적 자격증명 변경
• EDR 및 모니터링: Mimikatz 등 도구 탐지 및 행위 기반 분석 강화

6.2 위협 인텔리전스의 중요성

• APT 그룹 감시: 유사한 전술과 기법(TTP)을 가진 위협 그룹에 대한 지속적 모니터링
• 정보 공유: 업계 내 위협 정보 및 공격 사례 공유로 공동 대응력 강화
• 사전 예방적 대응: 공격 발생 전 취약점 식별 및 선제적 보안 전략 운영

결론

이번에 확인된 중국계 위협 그룹의 공격은 아시아 핵심 인프라에 중대한 사이버 위험을 가하는 대표적인 사례입니다. Mimikatz와 웹서버 취약점의 결합은 국가 단위 정밀 침투와 장기간 위협을 현실화하고 있습니다.

실무자는 자격 증명 보안 강화, 네트워크 분리, 행위 기반 탐지, 위협 인텔리전스 모니터링 등 다층적 방어 전략을 수립해야 합니다. 특히 기존에 알려지지 않은 신규 위협 그룹 등장의 가능성을 인식하고, 다층 방어 체계를 갖추는 것이 필수적입니다.

관련 출처 및 참고 문헌

• The Hacker News – 아시아 핵심 인프라 웹서버 취약점과 Mimikatz 활용 침투 사례
• Palo Alto Networks Unit 42 공식 연구 보고서