북미의 의료, 학술, 군사 연구 기관을 대상으로 한 중국 연계 스파이 캠페인이 1년 이상 미탐지 상태로 운영된 사실이 확인됐다. Google Workspace의 자동 전달 룰을 공격자 사서함으로 우회 설정한 점이 핵심 침묵 경로로 지목되며, REDCap 같은 학술 협업 도구의 보안 거버넌스 누락이 초기 침투의 입구로 악용됐다. 본문은 이 사례를 한국 기관 관점에서 재구성하고, 보안 운영자가 같은 시나리오를 즉시 점검할 수 있는 5가지 항목을 제시한다.
- 초기 침투: REDCap(연구용 전자데이터캡처) 서버 백도어를 통해 연구자 Google 계정 자격증명을 탈취했다.
- 유출 경로: Google Workspace 메일 전달 룰을 공격자 통제 사서함으로 복사하도록 재설정해 탐지를 우회했다.
- 잠복 기간: 캠페인은 1년 이상 미탐지로 운영되었으며 Google Threat Intelligence Group(GTIG)이 발견 후 교란(containment) 조치를 수행했다.
공격의 본질은 ‘메일 룰 한 줄 변경’이며, REDCap 같은 학술 도구의 패치 누락이 APT 장기 침투의 입구로 그대로 연결될 수 있다는 점이 가장 큰 경고 신호다.
공격 개요: 1년간 잠복한 중국 연계 스파이 캠페인
2026년 6월 15일 The Hacker News와 Dark Reading은 동일 사안의 분석을 동시 공개했다. 보고서들에 따르면 공격자는 의료, 학술, 군사 연구 분야의 연구자 사서함을 표적으로 삼아 1년 이상 정찰 활동을 수행했으며, 최종적으로 연구 협력 메일과 국방 관련 안건이 포함된 메시지를 외부로 복제 전송했다. 원문 보러가기(The Hacker News)와 교차 검증 기사(Dark Reading)에서 시점과 위협 행위자 속성이 일관되게 기술된 점이 사실 확인의 근거가 된다.
침투 경로 – REDCap 백도어를 통한 자격증명 탈취
공격의 출발점은 REDCap과 같은 연구용 전자데이터캡처(EDC) 플랫폼의 웹 서버였다. 보고서에 따르면 해당 서버에 백도어가 설치되어 연구자 계정의 로그인 자격증명이 탈취되었고, 이를 통해 정상 사용자 세션을 흉내 내며 Google Workspace 관리자 콘솔에 접근한 것으로 분석된다. REDCap은 의학·공학·국방 연구 분야에서 표준처럼 쓰이는 오픈소스 협업 도구이므로, 한국 대학병원, 정부출연 연구원, 방산 연구 협력 기관에서도 동일한 표면이 존재한다고 보는 것이 타당하다.
유출 메커니즘 – Google Workspace 메일 룰 재설정
자격증명을 확보한 뒤 공격자는 Google Workspace의 ‘메일 자동 전달 및 필터링 룰’을 재설정해, 피해 사서함으로 들어오는 메시지의 사본이 공격자 통제 외부 사서함으로 자동 복사 전송되도록 만들었다. 룰 자체는 관리 콘솔의 정상 기능 영역 안에서 만들어지므로 기존의 ‘외부 도메인 수신 로그’만 봐서는 정상 운영 변경과 구별하기 어렵다. 이 지점이 본 캠페인이 1년간 침묵을 유지할 수 있었던 구조적 원인이다.
Google Threat Intelligence Group의 교란 조치와 시사점
탐지와 교란을 주도한 Google Threat Intelligence Group(GTIG)은 침해 지표(IoC) 공유와 함께 룰 삭제, 세션 토큰 회전, 사서함 권한 정리를 동시에 수행했다. 즉, 클라우드 메일 환경에서 ‘룰을 되돌리는 것’만으로는 불충분하며 토큰 기반 세션과 OAuth 권한까지 함께 정리해야 완전한 교란이 가능하다는 점이 사례로 확인된 셈이다.
왜 이 공격이 1년간 탐지를 우회했는가
정상 관리자 작업으로 위장된 룰 변경
메일 룰 변경은 관리자나 사용자 본인이 일상적으로 수행하는 작업이다. 따라서 일반적인 SIEM(보안 정보 및 이벤트 관리) 알람은 ‘누가 룰을 만들었는가’보다 ‘어떤 외부 도메인으로 전달되는가’에 가중치를 둬야 잡아낼 수 있는데, 본 사례의 룰은 정상 도메인처럼 보이는 명목상 수신자나 별칭을 사용했을 가능성이 높다. 단일 이벤트 기준으로는 악성 여부를 판단하기 어렵다는 점에서 탐지 공백이 발생했다.
공급망 표적화: 학술 협업 도구의 보안 사각지대
대학·연구소 IT 부서는 Google Workspace나 Microsoft 365 같은 정식 SaaS(클라우드 기반 서비스 구독형 소프트웨어)에는 EDR(엔드포인트 탐지·대응), MFA(다중 인증), 감사 로그를 두텁게 적용하는 경향이 있다. 반면 REDCap, OpenSpecimen, LabArchives 같은 학술 협업 도구는 ‘부업적 워크로드(secondary workload)’로 분류되어 패치 주기가 길고, 파일 업로드·다운로드 경로에 대한 무결성 검증이 미비한 경우가 적지 않다. 본 사례는 바로 이 사각지대를 1차 침투 면으로 활용한 것으로 분석된다.
외부 수신자 자동 전달의 침묵
한국 기관 다수가 Google Workspace를 이용하지만 ‘외부 도메인 자동 전달 룰’ 자체를 정책적으로 차단하지 않는 곳이 여전히 존재한다. 이 경우 룰은 사용자 사서함 안에 존재하면서도 메일 흐름 로그(Gmail 로그, 호스트 기반 로그)에는 정상 메시지 사본 전송으로만 남고, 외부 도메인의 평판이나 행태와 교차 검증하지 않으면 침묵이 길어진다.
영향 범위와 피해 기관 프로파일
의료·학술·군사 연구망 동시 타깃
보고서에서 거론된 피해 기관은 의료 연구센터, 주요 대학의 학술 협력 그룹, 미국 내 군사 연구 관련 조직으로 요약된다. 세 분야가 동시에 표적이 된 것은 ‘민간 연구 → 학술 협력 → 국방 과제’라는 정보 흐름이 한 생태계를 이루기 때문이며, 공격자 입장에서는 단일 자격증명만으로 세 영역을 가로지르는 데이터 가치가 매우 높다.
탈취 데이터 유형: 연구 협력 메일과 국방 안건
탈취된 메시지에는 공동 연구 메일, 미공개 임상 데이터의 공유 링크, 국방 관련 내부 검토 의견, 그랜트(연구비) 신청서의 비공개 첨부파일까지 포함된 것으로 파악된다. 즉, 단순 개인정보가 아니라 ‘연구 지식재산과 안보 민감 정보의 교차점’이 1년간 누적 유출된 것으로 보이며, 피해 규모는 향후 공개되는 침해 통지에서 더 구체화될 것으로 예상된다.
한국 기관이 즉시 점검해야 할 5가지 항목
아래 항목은 본 사례를 근거로 저자 판단 수준에서 도출한 권고다. 각 항목은 오늘부터 48시간 이내에 1차 점검을 시작할 수 있도록 동작 중심으로 구성했다.
| 점검 항목 | 핵심 동작 | 참고 도구/쿼리 |
|---|---|---|
| 1. Google Workspace 감사 로그 활성화 | Admin Audit Log, Gmail Audit Log, Login Audit Log, User Audit Log를 모두 ON, 룰 변경 시 관리자 알림 발송 설정 | 관리 콘솔 > 보고 > 감사 로그 |
| 2. REDCap 패치·무결성 점검 | 최신 패치 적용, 플러그인 디렉터리 비교, 웹쉘 흔적 탐지, 파일 무결성 모니터링(FIM) 도입 | 서버 파일 해시 대조, EDR 웹서버 룰 |
| 3. 고가치 사서함 MFA·조건부 액세스 | 연구책임자, 국방 안건 메일함, 외부 협력 담당자 계정에 FIDO2/WebAuthn 기반 MFA, 조건부 액세스로 외부 발신 차단 | Context-Aware Access 정책 |
| 4. 외부 자동 전달 룰 주기 점검 | 주 1회 사용자 사서함 단위 룰 점검, 화이트리스트 외 외부 도메인 전달 차단 정책 배포 | Gmail API + 룰 조회 스크립트 |
| 5. 침해 흔적 사후 탐지 | 과거 1년 룰 변경 이벤트 회귀 분석, OAuth 토큰 재발급, REDCap 서버 포렌식 | Google Vault 검색, 서버 디스크 이미지 |
Google Workspace 감사 로그 활성화 및 룰 변경 알림
가장 먼저 확인해야 할 것은 룰 변경 이벤트가 ‘로그에 남는가’다. ‘Admin Console > 보고 > 감사 로그’에서 ‘Admin Audit Log’뿐 아니라 ‘Gmail Audit Log’, ‘Login Audit Log’도 모두 활성화해야 룰 생성·수정·삭제 이벤트가 보존된다. 나아가 룰이 생성·수정될 때 보안팀 메일 또는 챗 봇으로 알림이 발송되도록 ‘규정 준수 알림’ 룰을 추가하는 것이 권고 수준에서 효과적이다.
REDCap 등 오픈소스 연구 플랫폼 패치와 EDR 적용
REDCap은 오픈소스 특성상 플러그인, 외부 모듈, cron 작업이 다양하게 추가되며, 이 지점이 웹쉘 삽입 입지로 악용될 수 있다. EDR 에이전트를 웹서버에 설치하고 파일 무결성 모니터링을 켜두면, 백도어 파일 생성 시점에 즉시 알람을 받을 수 있다. 또한 REDCap 공식 릴리스 노트 기반 월 1회 이상 패치 윈도우를 의무화하는 운영 정책이 필요하다.
고가치 사서함 대상 MFA 강제 및 조건부 액세스
자격증명 탈취 시나리오에서 MFA는 가장 효과적인 통제다. 다만 SMS나 TOTP(시간 기반 일회용 비밀번호) 기반 MFA는 피싱에 취약하므로, 연구 책임자 및 국방 협력 사서함에는 FIDO2/WebAuthn 하드웨어 키를 강제 적용해야 한다. 동시에 ‘우리 기관이 관리하지 않는 디바이스에서의 사서함 로그인 차단’, ‘외부 발신 자동화 차단’ 같은 조건부 액세스 룰을 함께 적용하면 룰 재설정 자체의 시도를 차단할 수 있다.
외부 도메인 자동 전달 룰의 주기적 점검
사용자 사서함 단위로 ‘외부 도메인 자동 전달’ 룰을 주기적으로 점검하는 스크립트 작성을 권장한다. Gmail API에서 각 사서함의 필터/forwarding 목록을 추출해 화이트리스트와 대조하는 방식이며, 화이트리스트에 없는 도메인으로 자동 전달이 설정된 사서함은 즉시 보안팀 검토 대상으로 격상한다. 점검 주기는 최소 주 1회, 고가치 사서함은 일 1회로 단축하는 것이 안전하다.
백도어 흔적 탐지를 위한 REDCap 파일 무결성 모니터링
본 사례처럼 1년 이상 잠복한 침투는 결국 서버 디스크 또는 백업본의 비교 분석에서 결정적 단서가 나온다. 정상 상태의 REDCap 디렉터리 파일 해시 스냅샷을 별도 저장하고, EDR이나 FIM 도구로 비인가 변경을 탐지하도록 구성해야 한다. 사고 이후에는 디스크 이미지를 보존한 뒤 알려진 REDCap 익스플로잇 흔적과 대조하는 포렌식 절차를 진행한다.
결론: 클라우드 네이티브 APT 시대의 탐지 전략 전환
본 사례는 클라우드 메일 환경에서 ‘관리자 작업으로 위장된 룰 변조’만으로 1년 이상 장기 침투가 가능하다는 사실을 실증적으로 보여준다. 한국 기관의 관점에서 가장 큰 시사점은, REDCap 같은 학술 협업 도구의 패치와 EDR 적용 여부가 결국 ‘클라우드 메일의 안전성’을 결정한다는 점이다. 저자 판단으로는, 사용자 사서함 내부 룰에 대한 주기 감사, 고가치 사서함의 FIDO2 기반 MFA, 외부 도메인 자동 전달의 정책적 차단, 그리고 REDCap 서버의 무결성 모니터링까지 4가지를 묶음으로 적용해야 이번 사례로 대표되는 ‘메일 룰 기반 데이터 유출’ 시나리오의 탐지 공백을 실질적으로 줄일 수 있다.
핵심 요약
- 중국 연계 APT가 REDCap 백도어로 Google Workspace 자격증명을 탈취해 1년간 미탐지 침투를 수행했다.
- 유출은 외부 사서함으로 메일을 자동 복사 전송하는 메일 룰 한 줄로 구현되어 탐지 우회가 쉬웠다.
- 한국 기관은 감사 로그, REDCap 무결성, 고가치 MFA, 외부 자동 전달 룰 점검, 사후 탐지의 5가지를 즉시 점검해야 한다.