핵심 요약
- 발루치스탄 경찰 웹 포털이 2024년 2월부터 2026년 4월까지 중국 및 인도 진영 위협 행위자들의 다중 그룹 사이버 첩보 캠페인 발판으로 악용된 사실이 확인됨
- 해당 활동은 파키스탄 내 여러 법 집행 기관을 표적으로 하며, 국가 간 지정학적 이해관계가 반영된 조직적 APT(Advanced Persistent Threat, 고급 지속 위협) 양상을 보임
- 신뢰 도메인을 무기화하는 공격 기법은 공공 포털을 운영 또는 연계하는 모든 조직에 대해 위협 정보 공유 체계 강화를 요구함
공공 포털이 한 차례 피싱 입구로만 쓰이는 사례와 달리, 본 사건은 같은 자원이 두 개 이상의 국가 배후 그룹에 동시에 재활용된 점에서 남아시아 위협 환경의 구조적 전환을 보여줍니다.
파키스탄 발루치스탄 경찰청 웹 포털이 2024년 2월을 기점으로 반복적으로 침투를 받아 왔으며, 이 자원은 중국 및 인도 진영으로 추정되는 위협 행위자들의 다중 그룹 사이버 첩보 캠페인에 동시에 활용된 것으로 분석됩니다. 사건 자체보다 중요한 것은, 공격자들이 행정 포털이라는 신뢰 표식을 빌려 여러 법 집행 기관과 그 이해관계자를 잇는 사일런트 체인을 만들었다는 사실입니다. 본문은 공개된 위협 인텔리전스 자료를 바탕으로 사건 구조와 시사점을 정리합니다.
1. 사건 개요와 공격자 정황
1.1 보도 시점과 확인된 침해 사실
The Hacker News는 2026년 7월 11일자 기고를 통해 발루치스탄 경찰 포털이 다중 그룹 사이버 첩보 활동의 중개 지점으로 악용되었다고 전했습니다. 공격 기간은 2024년 2월부터 2026년 4월까지 약 27개월에 걸쳐 이어졌으며, 표적은 발루치스탄에 한정되지 않고 파키스탄 내 여러 법 집행 기관으로 확장된 것으로 파악됩니다. 보고서는 이 활동을 Threat Intelligence 및 Cyber Espionage 영역으로 분류하며, 일반적인 해킹 사건이 아닌 국가 간 이해관계가 반영된 APT 캠페인으로 분류합니다.
1.2 중국계 및 인도계 위협 행위자 개요
보도에 따르면 공격자는 단일 행위자가 아니라 중국 진영과 인도 진영으로 분류된 복수의 그룹이 시차를 두고 동일 자원을 활용한 것으로 보고됩니다. 그룹 간에 도구와 인프라가 일부 공유되거나 유사한 위장 기법을 반복했다는 점에서, 발루치스탄 경찰 포털이 양 측 모두에게 신뢰성 높은 자산으로 기능했을 것으로 분석됩니다. 가능성이 제기됩니다. 다만 양 진영의 최종 귀속은 공개 정보만으로 단정할 수 없으며, 분석가의 평가와 위협 인텔리전스 회사의 클러스터링에 기반해 분류된 것으로 보입니다.
2. 발루치스탄 경찰 포털이 무기화된 경위
2.1 포털 자체 취약점이 만들어진 진입 경로
포털이 무기화된 직접적 계기는 표적 기관의 시스템 자체라기보다, 외부에 공개된 행정 포털이라는 표면적 신뢰에 있습니다. 발루치스탄 경찰 포털은 지역 내 일반 이용자가 자주 방문하는 도메인이므로, 공격자가 피싱 발신지나 C2(Command and Control, 명령 제어 서버) 콜백 호스트로 사용하더라도 수신자나 모니터링 시스템 입장에서 의심도가 낮아집니다. 이처럼 정상 도메인을 통한 우회 전달은 공격자에게 비용 효율적인 경로이며, 방어자 입장에서는 자사 도메인을 차단하기 어려워 탐지 부담이 커집니다.
2.2 신뢰된 도메인으로 위장한 2차 침투
공격자는 침투 이후에도 같은 자원을 2차 발판으로 활용해 표적 기관 내부 사용자에게 접근한 것으로 분석됩니다. 알림 메일, 안내 게시물, 문서 다운로드 링크 등에 경찰 도메인을 그대로 사용하면서 백로드 첨부 또는 자격증명 수집 페이지를 끼워 넣으면, 이용자는 보안 경고에 익숙할수록 본사 시스템과의 연결을 끊기 어려워집니다. 결과적으로 발루치스탄 경찰 포털은 1차 침투와 2차 침투 양쪽에서 공격의 신뢰성을 떠받치는 핵심 인프라로 기능한 것입니다.
3. 다중 그룹 캠페인의 운영 양상과 표적 범위
3.1 2024년 2월부터 추적된 침투 타임라인
보도된 침투 타임라인의 핵심 구간을 표로 정리하면 다음과 같습니다.
| 시점 | 확인된 행태 | 관련 위협 그룹 추정 |
|---|---|---|
| 2024-02 | 발루치스탄 경찰 포털 인프라에 대한 초기 침투 흔적 포착 | 중국 진영 APT 추정 |
| 2024~2025 | 동일 자원을 활용한 2차 표적 활동 확대, 법 집행 기관 내부 메일 유출 시도 | 중국·인도 진영 복합 추정 |
| 2026-04 | 공개 보고 시점 기준 가장 최근 확인된 침투 활동, 캠페인 일시 중단에 해당하는 징후 | 인도 진영 APT 추정 |
| 2026-07-11 | The Hacker News가 다중 그룹 활용 사실과 표적 범위를 종합 공개 | 매체 공개 단계 |
이 일정은 공격이 단발성이 아니라 최소 2년에 걸쳐 진화해 왔음을 보여주며, 표적 기관과 자원 운영 주체 모두에서 탐지 공백이 누적되었음을 시사합니다.
3.2 데이터 유출 규모와 표적 기관별 특징
공개 자료는 유출 데이터의 정확한 레코드 수를 명시하지 않지만, 파키스탄 내 여러 법 집행 기관이 동시에 표적이 되었다는 점에서 운영 정보, 내부 메일, 인사 데이터 등이 무관심하게 노출될 수 있었던 구조로 평가됩니다. 특히 중국 진영으로 추정되는 그룹은 장기 거주의 일관성을, 인도 진영으로 추정되는 그룹은 비교적 짧고 집중적인 캠페인 양식을 보여, 양 측이 같은 인프라를 빌리더라도 운영 철학은 상이한 것으로 보입니다.
3.3 운영 방식에서 드러난 중국계와 인도계 그룹의 차이점
- 중국 진영 추정 그룹은 정보 거주의 시그니처가 강하며, 동일한 침투 통로를 수 개월 이상 유지하면서 지속적 유출을 시도한 패턴이 관측됨
- 인도 진영 추정 그룹은 단기간에 걸쳐 특정 표적을 압박하는 방식이며, 표적이 되는 기관의 업무 일정과 외부 이벤트에 맞춘 시점 선택이 뚜렷한 것으로 분석됨
- 공통적으로 발루치스탄 경찰 도메인을 C2 또는 위장 송신지로 재사용했다는 점에서, 두 그룹은 자원을 놓고 경쟁하기보다 일정한 영역을 공유한 것으로 판단됨
4. 시사점과 대응 권고
4.1 공공기관 포털 점검과 인증 강화 기준
이번 사건은 공공기관 포털이 단순히 행정 편의 채널이 아니라, 위협 행위자에게는 신뢰 자산을 표적으로 삼을 가치가 있다는 점을 다시 확인시킵니다. 대응의 출발점은 다음과 같습니다.
- 행정 포털에서 외부로 송출되는 모든 링크와 첨부 파일에 DMARC(Domain-based Message Authentication, Reporting and Conformance) 및 SPF(Sender Policy Framework) 기반 도메인 인증을 의무화
- 포털 내부 관리자 콘솔에 다단계 인증과 IP 기반 접근 통제 정책을 적용해 일반 공개 영역과 운영 영역을 분리
- 포털 자산에 대한 정기적 위협 인텔리전스 매칭과 외부 모니터링 위탁을 통해 자가 도메인이 위협 인프라로 등록되는지 상시 확인
4.2 국가 간 위협 정보 공유 체계
이번 캠페인은 중국·인도 양측이 같은 자원을 사용했다는 점에서 한 국가 내부의 단독 대응만으로는 탐지 한계가 있음을 보여줍니다. 단일 CERT(Computer Emergency Response Team, 컴퓨터 비상 대응팀) 차원의 인사이트 공유를 넘어, 표적국의 인접국 및 우호국 CERT와 IOC(Indicators of Compromise, 침해 지표)를 실시간에 가깝게 교환하는 구조가 요구됩니다. 나아가 APT 그룹의 클러스터링 정보까지 공유에 포함해야, 발루치스탄 사례처럼 동일 자원이 다중 그룹에 의해 반복 악용되는 패턴을 조기에 식별할 수 있습니다.
정리하면
- 신뢰받는 공공 포털은 공격자에게 비용이 낮고 성공률이 높은 인프라로, 자가 도메인이라 하더라도 상시 모니터링이 필요합니다.
- 동일 자원이 두 개 이상의 국가 배후 APT에 동시에 악용된 사례는, 국가 단위 차원의 위협 정보 공유 없이는 조기 탐지가 구조적으로 어렵다는 점을 시사합니다.
- 공개된 위협 인텔리전스 자료를 토대로, 발루치스탄 경찰 포털 사건은 남아시아 공공 사이버 안보 협력의 구체적 출발점을 다시 환기시키는 사례로 기록될 필요가 있습니다.