중국 연계 해킹조직 ‘Red Menshen’, BPFDoor로 세계 통신망 이면의 스파이전 벌여

사건 개요 및 주요 배경

국제 보안 전문가들은 중국과 연계된 해킹 조직 ‘Red Menshen'(레드멘센)이 전 세계 통신망을 대상으로 장기간의 사이버 스파이 활동을 벌이고 있다고 경고했다. 해당 그룹은 ‘Earth Bluecrow'(어스 블루크로우)라고도 불리며, 주로 통신 인프라와 정부 기관 네트워크를 핵심 타깃으로 삼아 지속적으로 침투를 시도하고 있는 것으로 알려졌다.

최근 이들이 활용한 백도어 악성코드 ‘BPFDoor’가 특히 주목받고 있다. BPFDoor는 리눅스 기반 시스템에서 동작하며, 기존 보안 시스템의 탐지를 회피하도록 정교하게 설계된 악성 소프트웨어다.

주요 해킹 조직 ‘Red Menshen’ 소개와 활동

레드멘센은 최근 수년간 아시아 및 중동 지역의 정부 기관과 주요 인프라에 대한 사이버 공격과 연관성이 높은 조직으로 지목된다. 보안 기업 Recorded Future의 분석에 따르면, 이들은 최소 2020년대 초반부터 활발히 활동한 것으로 추정된다. 과거에도 정부 네트워크를 대상으로 다수의 침투 시도가 확인됐다.

이 그룹을 Earth Bluecrow라고도 부르는 이유는, 이들이 주로 Bluecrow 계열의 악성코드를 사용하는 것으로 알려져 있기 때문이다. 레드멘센의 공격 패턴은 오랜 기간 잠복하며 피해 네트워크 내에서 접근 권한을 유지하는 APT(지속적 위협 공격)의 전형을 보여준다.

BPFDoor 악성코드의 특징과 위협

BPFDoor는 Berkeley Packet Filter(BPF) 기술을 악용하는 백도어로, 리눅스 환경에서 네트워크 패킷을 직접 조작하는 커널 수준의 취약점을 이용한다. 이 악성코드의 위협 요소는 다음과 같다.

첫째, 탐지 회피 기능입니다. BPFDoor는 정상 프로세스처럼 위장해 안티바이러스나 엔드포인트 보안 솔루션의 탐지를 쉽게 피해 갑니다.

둘째, 원격 트래픽 감청 기능입니다. 공격자는 이 악성코드를 통해 감염 시스템의 네트워크 트래픽을 은밀하게 감시하고, 주요 데이터를 탈취할 수 있습니다.

셋째, 지속적 백도어 기능이 있습니다. 감염 후에는 재부팅에도 사라지지 않는 자동 복구 메커니즘 덕분에, 공격자는 언제든지 시스템 접속 권한을 다시 획득할 수 있습니다.

공격 방식: 침투·은폐 전략과 장기 거점화

레드멘센의 공격은 단계적인 침투 전략을 따릅니다. 우선 피싱 메일이나 시스템 취약점 공격으로 초기 진입점을 확보한 뒤, 내부 네트워크 내 다른 시스템으로 이동해 최종 목표 시스템에 접근합니다.

이 과정에서 BPFDoor의 은폐 기술이 중요한 역할을 합니다. 악성코드는 불필요한 파일과 프로세스를 최소화해 흔적을 남기지 않고, 암호화된 통신을 통해 외부 C2(명령 통제) 서버와 연결됩니다. 이런 은밀한 구조 덕분에 보안 담당자가 공격을 쉽게 발견하지 못합니다.

또한 한 번 침투에 성공하더라도 즉각적인 데이터 탈취보다는, 수개월에서 수년간 내부에서 활동하며 환경에 익숙해진 후 완벽한 타이밍에 중요한 정보를 빼내는 전략을 구사합니다. 대표적인 APT 공격 수법입니다.

피해 범위, 대상, 실제 사례

현재까지 공식적으로 드러난 피해 규모는 제한적이지만, 통신 인프라와 정부 기관이 주요 타깃임은 분명합니다. 보안 전문가들은 BPFDoor가 통신사, 정부기관, 주요 기간시설 네트워크에서 발견된 사례를 다수 파악했다고 밝히고 있습니다.

BBC News를 비롯한 해외 주요 매체는 여러 국가의 통신 인프라 침해 사례를 연이어 보도했으며, 이번 레드멘센의 활동 역시 그 연장선에 있다고 볼 수 있습니다. 특히 아시아-태평양과 중동 지역이 주요 표적으로 지목됩니다.

현재까지 확인된 사실과 공식 리포트 검증

본 사안은 Recorded Future의 공식 분석 리포트에서 처음 상세히 다루어졌고, 해당 자료에는 BPFDoor의 기술적 특성과 함께 레드멘센/어스 블루크로우 그룹의 활동 패턴도 포함되어 있습니다. MITRE ATT&CK 프레임워크에도 이들의 주요 공격 방식이 정리되어 있습니다.

The Hacker News 등 주요 보안 매체들 또한 BPFDoor가 중국 연계 해킹 조직에 의해 광범위하게 악용된다고 강조한 바 있습니다. 여러 리포트와 언론 보도를 교차 검증함으로써 해당 위협의 신뢰성이 뒷받침되고 있습니다.

국제 사회와 국내 보안 당국의 대응 방안

이 사건을 계기로 국제 사회에서는 통신망 보안의 중요성에 대한 경각심이 다시 높아지고 있습니다. 전문가들은 아래와 같은 대응책을 강조합니다.

첫째, 네트워크 트래픽 모니터링 강화입니다. 비정상적 패킷 변화나 암호화 통신의 증가는 BPFDoor 등의 공격 신호이므로, 실시간 모니터링이 필수입니다.

둘째, 보안 패치 및 시스템 업데이트를 신속히 적용해야 합니다. 취약한 시스템은 악성코드 감염에 매우 취약합니다.

셋째, 사용자 인증과 접근 통제 강화입니다. 다단계 인증 도입과 관리자 계정 보호가 요구됩니다.

국내 보안 당국도 통신사 및 중요 시설에 대해 보안 감사와, 실시간 위협 정보 공유 체계를 통해 신속한 대응에 나서고 있습니다.

전문가 분석 및 향후 전망

보안 전문가들은 레드멘센의 활동을 국가가 지원하는 사이버 공격으로 분류합니다. 이러한 조직의 위협은 장기간 지속될 가능성이 높으며, 한 번 침투가 성공하면 대량 정보 유출로 연결될 위험이 있습니다.

앞으로 BPFDoor 백도어의 변종이나, 유사한 새로운 악성코드 출현 가능성이 크다고 경고합니다. 이에 따라 각 기관과 기업은 위협 인텔리전스 공유 및 선제적 방어 체계 강화에 주력해야 할 시점입니다.

레드멘센 사례는 국가 간 사이버 경쟁이 치열해지는 가운데, 통신망 등 핵심 인프라의 사이버 위협이 점차 정교화되고 있음을 보여줍니다. 국제 협력을 통한 공동 대응체계와 기업 차원의 보안 투자 확대가 동시에 필요합니다.