- 신규 로더 등장: 아직 문서화되지 않은 악성코드 패밀리 SharkLoader는 감염 호스트에서 Cobalt Strike Beacon을 실행하는 로더 역할만 전담하는 경량형 위협으로 분석됨
- 공격 코드네임 공개: Kaspersky는 본 활동을 StrikeShark로 추적하고 있으며 인도네시아 외교조직 1곳과 대만 정부조직이 표적에 포함된 사실을 확인함
- 지역 표적화 양상: 동남아시아와 동아시아의 외교 및 공공부문을 겨냥한 정밀 표적형 사이버공격 양태를 보이며 APT(Advanced Persistent Threat, 고급지속성위협) 그룹의 활동 정황이 포착됨
SharkLoader는 단독 기능보다 다음 단계 페이로드를 안전하게 심는 통로에 집중하기 때문에 탐지 시그니처 작성 시 본체보다 로더의 정황 신호에 주목해야 한다.
보안 업계에서는 2026년 6월 기준 신규 로더 악성코드 SharkLoader가 Cobalt Strike Beacon을 탑재한 상태로 동아시아 공공부문 공격에 활용된 사실이 공식 확인된 가운데 Kaspersky가 관련 활동을 StrikeShark 코드네임으로 지속 추적하고 있다. 해당 보고서는 로더 본체의 경량 설계와 표적 기관의 지정학적 분포가 결합된 점에서 기존 동남아시아 표적 캠페인과 명확히 구분되는 사례로 평가된다.
본 글에서는 SharkLoader의 기술적 특징과 StrikeShark 캠페인의 표적 선정 논리를 정리하고 공공부문 보안팀이 즉시 활용 가능한 탐지 및 위협 인텔리전스(Threat Intelligence, 위협 정보) 적용 방안을 제시한다.
StrikeShark 캠페인 개요
Kaspersky의 위협 인텔리전스 팀이 StrikeShark로 명명한 본 캠페인은 문서화되지 않은 신규 로더를 초기 침투 도구로 활용한다는 점에서 학계와 업계의 관심을 모으고 있다. 보고서에 따르면 로더 단계에서 수행되는 기능은 의도적으로 최소화되어 있으며 본 공격의 핵심 가치는 이후 단계에서 적재되는 Cobalt Strike Beacon에 집중되어 있다.
Kaspersky의 신규 위협 발견 경위
Kaspersky는 인도네시아 외교기관과 대만 정부조직에서 수집한 샘플 정적 분석과 동적 분석을 교차 검증하던 중 공통의 로더 패턴을 식별했고 이를 SharkLoader로 명명했다. 보고서 본문에서는 로더의 컴파일 산물, 문자열 처리 방식, 네트워크 통신 시점이 StrikeShark 캠페인 외에 다른 알려진 활동과 일치하지 않는다는 점이 강조되었다.
공격 시점 및 표적 기관 분포
본 캠페인은 동남아시아와 동아시아를 동시에 아우르는 표적 분포를 보인다. 현재까지 확인된 표적은 인도네시아 외교조직 1곳과 대만 정부조직으로 알려져 있다.아의 외교기관 1곳과 대만의 정부조직이며 다른 기관으로의 확산 시도도 정황 수준에서 거론되고 있다. 다만 표적 기관의 구체적 명칭은 공개 자료에서 확인되지 않아 추가 정보가 공개될 때까지 추정 단계로 분류해야 한다는 점에 유의해야 한다.
| 항목 | 내용 |
|---|---|
| 악성코드 패밀리 | SharkLoader (신규 미문서화) |
| 주요 페이로드 | Cobalt Strike Beacon |
| 추적 코드네임 | StrikeShark (Kaspersky) |
| 확인된 표적 | 인도네시아 외교기관 1곳, 대만 정부조직 |
| 표적 지역 | 동남아시아 및 동아시아 공공부문 |
| 최초 공개 시점 | 2026년 6월 26일 |
SharkLoader 악성코드 기술 분석
신규 로더의 가치는 단독 기능이 아니라 어떤 페이로드를 어떤 방식으로 적재하느냐에 있다. SharkLoader는 이 원칙을 극단적으로 따르는 사례로 평가되며 본체 분석 정보가 제한적인 만큼 공개된 정황을 토대로 추정되는 구조를 정리한다.
로더 구조와 Cobalt Strike Beacon 연결 방식
공개된 정황에 따르면 SharkLoader는 시스템 상주, 레지스트리 변조, 데이터 유출 등 전통적인 백도어 기능을 자체 구현하지 않는 것으로 보인다. 대신 로더는 암호화된 본체를 메모리 상에서 해제한 뒤 Cobalt Strike Beacon을 직접 실행하는 최소 경로만 보유하는 것으로 추정된다. 이러한 경량 설계는 시그니처 기반 탐지를 회피하고 메모리 내 실행으로 인지를 어렵게 만드는 효과가 있어 침해지표(Indicator of Compromise, IOC) 기반 모니터링이 필수적이다.
침투 및 지속화 메커니즘 추정 시나리오
Kaspersky 보고서에는 침투 단계의 상세 절차가 명시적으로 공개되지 않았으나 외교 및 정부 조직 표적이라는 점에서 피싱 이메일, 워터링홀(Watering Hole, 신뢰된 웹사이트 변조), 공급망 우회 등 통상적인 표적화 벡터가 사용된 것으로 추정된다. 지속화 단계에서는 Beacon의 Scheduled Task 또는 서비스 등록 기능이 로더 이후 단계의 표준 흐름으로 활용되었을 가능성이 높으며 이는 일반적인 Cobalt Strike 운영 패턴과도 일치한다.
동남아시아·동아시아 공공부문 표적화 동향
공공부문을 겨냥한 사이버공격은 지정학적 이슈와 결합될수록 보고서 공개 이후에도 후속 캠페인이 동기간 내에 등장하는 경향이 있다. StrikeShark는 이러한 패턴의 최신 사례로 읽힌다.
인도네시아 외교 및 대만 정부 표적의 지정학적 맥락
인도네시아 외교조직과 대만 정부조직을 동시에 표적으로 삼는 구성은 양 지역이 다자 외교 및 반도체 공급망에서 차지하는 비중을 고려할 때 정보 수집 가치를 동시에 충족시키려는 의도로 해석된다. 다만 공격자 주체 및 국가별 책임 소재는 공식 자료에서 확정되지 않았으므로 단정해서는 안 된다.
유사 APT 캠페인과의 비교
기존 동남아시아 표적 APT 캠페인이 다단계 드로퍼(Dropper, 추가 악성코드를 내려받는 중간 실행기)와 백도어, 커스텀 임플랜트를 함께 운용한 것과 비교하면 StrikeShark는 로더 단계의 책임을 최소화하고 검증된 상용 프레임워크인 Cobalt Strike에 실행 권한을 즉시 위임한다는 점에서 운영 효율성을 우선시한 설계로 평가된다. 이는 위협 행위자가 신규 도구 개발 비용보다 침투 성공률과 운영 안정성을 더 중시하는 방향으로 전략이 이동하고 있음을 시사한다.
대응 권고 및 위협 인텔리전스 활용
공격 도구가 새로 등장하더라도 대응 원칙은 크게 달라지지 않는다. 핵심은 정적 시그니처보다 행위 기반 신호와 위협 인텔리전스 피드에 빠르게 정렬하는 것이다.
탐지 룰 및 IOC 적용 방안
- 메모리 내 Beacon 인스턴스 출현 전후에 발생하는 비정상 자식 프로세스 생성 이벤트를 EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응) 룰로 등록한다.
- 외부 Cobalt Strike 팀 서버로 의심되는 IP 및 도메인에 대한 DNS(도메인 네임 시스템) 쿼리 로그를 주기적으로 감사하고 위협 인텔리전스 피드와 교차 검증한다.
- 로더 본체 실행 파일명의 변형 패턴을 자산 그룹 단위로 모니터링하여 동일 호스트 내 반복 실행을 조기 식별한다.
- Beacon 특유의 Sleep 마스킹 패턴과 주기적 콜백 시점을 기준으로 네트워크 트래픽 이상을 탐지하는 시그니처를 추가한다.
정부 및 외교기관의 보안 강화 시사점
외교 및 정부 조직은 표적 가치가 높아 한 차례 침투가 성공하면 다수 기관으로 빠르게 확산될 수 있다. 따라서 StrikeShark와 같은 신규 캠페인 공개 시 단기적으로는 IOC 차단과 엔드포인트 점검에 집중하고 중장기적으로는 제로 트러스트(Zero Trust, 사용자 및 디바이스를 지속적으로 검증하는 보안 모델) 네트워크 전환, 공급망 보안 점검, 위협 인텔리전스 공유 체계 가동이 병행되어야 한다. 또한 침해 발생 시 침해지표와 행위 로그를 자국 CERT(Computer Emergency Response Team, 컴퓨터 비상 대응팀) 및 국제 협력 채널에 즉시 공유하는 절차가 사전에 마련되어야 효과적인 공동 대응이 가능하다.
핵심 정리
- SharkLoader는 자체 기능보다 다음 단계 페이로드인 Cobalt Strike Beacon 적재에 집중한 경량 신규 로더로 분석된다.
- Kaspersky의 StrikeShark 추적 사례는 인도네시아 외교조직과 대만 정부조직이 동시 표적이 될 수 있음을 보여주는 최근 정례 사례로 기록될 필요가 있다.
- 신규 악성코드 공개 시점에서는 시그니처보다 행위 기반 탐지와 위협 인텔리전스 피드 정렬이 가장 빠른 단기 대응 수단이다.
- 공공부문은 제로 트러스트 전환과 CERT 중심의 침해지표 공유 체계를 사전에 정비해야 표적 가치 상승에 선제적으로 대응할 수 있다.