UAT-7810의 LONGLEASH 멀웨어와 ORB 네트워크: Ruckus 라우터 표적 공격 동향과 엣지 보안 과제

중국 연계 위협 행위자 UAT-7810이 Ruckus 무선 라우터를 중심으로 ORB 네트워크를 확장하기 위해 LONGLEASH 멀웨어를 개발·운용 중인 것으로 분석되었다.

  • 위협 행위자: 국가 지원형 APT 그룹 UAT-7810, 운영 거점 네트워크 ORB(Operational Relay Box)
  • 공격 표면: 패치가 적용되지 않은 Ruckus 무선 라우터를 중심으로 한 인터넷 노출형 엣지 장비
  • 1차 근거: Cisco Talos의 위협 인텔리전스 보고와 Bleeping Computer의 2026년 7월 7일자 보도

들어가며: ORB 네트워크와 LONGLEASH가 다시 주목받는 이유

최근 보안 가용 위협 인텔리전스를 보면 중국 연계 위협 행위자가 단순 침투를 넘어 자체 인프라를 키우는 움직임이 뚜렷해지고 있다. 이러한 흐름의 정중앙에 라우터 백도어용 멀웨어 LONGLEASH와 중계 노드망 ORB가 다시 떠올랐으며, Bleeping Computer는 2026년 7월 7일자 기사에서 이를 집중 보도했다. 이번 사례는 “라우터 하나가 거점이 된다”는 점에서 기업의 보안 운영자에게 적지 않은 무게를 안긴다.

국가 지원형 APT의 라우터 표적화 흐름

국가 지원형 위협 행위자는 전통적 엔드포인트보다 네트워크 경계 장비를 선호해 왔다. 라우터는 잦은 패치 누락, 제한적 로깅, 분산된 거점이라는 특성 때문에 장기 거점화(jumphost)에 적합하다. 중국 연계 그룹들은 운영 거점(Operational Relay Box, ORB)을 다층으로 구축해 트래픽 출처 세탁과 명령제어 통신 은폐에 활용해 온 것으로 보고되며, UAT-7810 역시 이러한 흐름을 이어온 그룹으로 분석된다.

Cisco Talos가 공개한 위협 정보의 의미

Cisco Talos의 자체 위협 연구팀은 이번 LONGLEASH 관련 보고를 통해 멀웨어의 감염 경로, 백도어 동작 방식, ORB 노드와의 통신 패턴까지 구체적으로 공개했다. 이는 업계 전반의 침입 지표(IoC) 공유와 탐지 룰 갱신에 직접 활용될 수 있다는 점에서 의미가 크다. 다만 세부 악성 페이로드 자체는 일부 비공개로 유지돼, 공개 자료만으로 즉시 탐지를 구성하기보다는 자사 환경과의 매핑이 필요하다.

LONGLEASH 멀웨어의 구조와 감염 메커니즘

LONGLEASH는 ORB 확장을 목적으로 설계된 멀웨어로, 감염 후 라우터가 외부 지휘 서버와 안정적으로 통신하도록 돕는 백도어 성격이 강하다. Talos 측은 감염 이후 발생할 것으로 추정되는 행위와 탐지에 활용 가능한 단서를 함께 제공했으며, 운영 측면에서는 사이버 안보 전문 매체인 Bleeping Computer의 보도가 핵심 사실 정리에 유용하다.

Ruckus 무선 라우터를 중심으로 한 공격 표면

공격의 1차 목표는 인터넷에 직접 노출된 Ruckus 무선 라우터다. 이를 노리는 이유는 Ruckus 장비가 다수의 기업·공공시설·숙박·의료 현장에서 게스트 트래픽과 백홀을 동시에 처리하는 경우가 많고, 일선 현장에서는 펌웨어 업데이트가 지연되기 때문이다. 따라서 동일 조직 내부에서도 외부 노출 구간의 펌웨어가 통합 관리되지 않는 사례가 곧바로 침투 통로로 이어질 가능성이 높다.

지속적 접근을 가능하게 하는 백도어 설계

LONGLEASH가 단순한 초기 침투 도구가 아니라 ORB 확장용 백도어라는 점은 심각도를 한 단계 높인다. 감염된 장비는 ORB 노드의 역할을 수행하며, 다른 표적에 대한 다음 단계 공격의 안전 버퍼(buffer)처럼 기능할 수 있다. 이 경우 피해 라우터를 보유한 조직은 자의적으로는 인지하기 어려운 우회 거점 역할을 떠안게 되며, 평판 리스크와 법적 책임 문제까지 연쇄될 여지가 있다.

UAT-7810과 ORB 네트워크의 전략적 가치

ORB는 단순한 봇넷이 아니라 다단계 우회 체계를 갖춘 인프라다. 공격자는 이를 통해 실제 명령제어(C2) 서버를 숨기고, 트래픽 출처를 세탁하며, 필요 시 표적 근처의 거점에서 다음 행위를 개시한다. UAT-7810이 ORB 확장을 위해 신규 멀웨어를 적극 개발하는 점은, 자국 소재 C2를 직접 노출하기 어려운 환경적 제약을 우회하려는 시도로 해석된다.

중계 노드 확보를 통한 트래픽 은폐 기법

ORB가 네트워크 공격에서 제공하는 가치는 세 가지로 정리할 수 있다.

ORB 네트워크가 공격자에게 제공하는 핵심 가치
기능 설명 보안 함의
출처 세탁 외부에서 보면 일반 기업 라우터처럼 보이도록 트래픽 위장 이상 행위 식별을 위해서는 평판·흐름 데이터 융합 필요
C2 은폐 실제 지휘 서버까지 다단계 도약 단일 IP 차단은 효과 부족, 패턴 기반 탐지가 핵심
지역 분산 표적 근처의 ISP급 거점 확보 내부 관측 트래픽에서 평소와 다른 외부 연결 지표 발생

장기 운영형 인프라의 위험성

ORB는 “쓰고 버리는” 일회성 인프라가 아니다. 한 번 거점이 확보되면 동일 조직 내부에서도 장기간 활용되므로, 침투 시점과 탐지 시점 사이의 공백(gap)이 곧바로 위험 노출 구간으로 작용한다. 보안 관점에서는 이러한 특성을 고려해 단발성 인시던트가 아니라 “지속적 거점화(persistence)” 차원의 대응 모델이 요구된다.

기업·기관이 즉시 점검해야 할 엣지 보안 과제

이번 사례는 특정 멀웨어 서명 차원의 대응을 넘어, 엣지 자산 전체의 가시성과 패치 거버넌스를 재점검해야 한다는 신호로 읽힌다. 실습적으로는 인터넷에 노출된 라우터의 자산 목록화, 모델별 펌웨어 버전 대조, 비인가 설정 변경 탐지 체계 가용 여부 확인부터 진행할 필요가 있다. 막연한 경계 강화보다 “지금 어떤 라우터가 밖을 향해 있는지”를 명확히 파악하는 것이 선결과제다.

패치 미적용 라우터와 낡은 펌웨어 리스크

패치 미적용 라우터는 국가 지원형 APT에게 가장 매력적인 표적이다. 권장 점검 항목은 다음과 같다.

  • Ruckus 제품군을 포함한 인터넷 노출 라우터의 현재 펌웨어 버전과 제조사 권장 버전 비교
  • 기본 자격 증명 사용 여부, 원격 관리 인터페이스 비활성화 여부 확인
  • 장비 로그의 외부 연결 목적지 평판 조회 및 비정상 시간대 세션 점검
  • 외부 제휴 파트너·지점·숙박 시설 등 자사가 직접 통제하지 않는 거점의 노출 위치 파악

네트워크 트래픽 모니터링과 침입 지표 공유

Talos가 공개한 침입 지표는 단독으로는 한정적이지만, 자사의 NetFlow·egress 로그·SIEM 탐지 룰과 결합하면 식별력을 끌어올릴 수 있다. 또한 업계 위협 정보 공유(ISAC, 정보공유 분석센터) 채널을 적극적으로 활용해 동일 패턴을 다수 조직이 동시에 추적하는 것도 효과적이다. 1차 위협 정보 출처인 Cisco Talos 외에도, 한국 사이버안보 관련 CERT·공공 ISAC의 공지를 병행 점검할 필요가 있다.

마무리: 공급망과 엣지 보안을 둘러싼 향후 위협 전망

중국 연계 위협 행위자가 ORB 확장용 전용 멀웨어를 적극 개발하는 흐름은, 향후 라우터·VPN·원격 관리 장비 같은 경계 자산을 겨냥한 공격이 늘어날 가능성이 높음을 시사한다. 기술적으로는 드넓은 보호 대응 제품군이 이미 존재하지만, 운영적으로는 자산 가시성 부족과 패치 지연이 여전히 가장 큰 약점으로 지적되어 왔다. 따라서 향후 12~24개월은 “우수한 제품 위주의 보안”에서 “자산 단위 가시성과 패치 속도 중심의 보안”으로 무게가 이동할 것으로 전망된다(“~것으로 보임”). 한편 공격자 입장에서도 단일 멀웨어 패밀리에 머무르지 않고, 노드 확보 비용과 안정성 사이에서 지속 최적화를 시도할 것으로 분석된다(“~로 분석됨”).

핵심 정리

  • LONGLEASH는 Ruckus 라우터를 중심으로 ORB 확장을 위해 운용되는 백도어형 멀웨어다.
  • UAT-7810은 중계 노드 확보로 트래픽 은폐와 지휘통제 은폐를 동시에 노린다.
  • 대응 핵심은 인터넷 노출 라우터의 펌웨어 관리, 원격 인터페이스 통제, 비정상 외부 연결 모니터링이다.
  • Talos·Bleeping Computer 등 공개 침입 지표를 자사 환경에 매핑해 탐지 룰을 즉시 갱신해야 한다.

LONGLEASH, ORB네트워크, UAT-7810, CiscoTalos, Ruckus라우터, 중국연계해킹, OperationalRelayBox, 엣지장비보안, 라우터백도어, 국가지원형APT, 네트워크침입지표, 공급망보안

댓글 남기기