중국 해킹조직 ‘UNC6384’, 외교관 타깃 해킹 공격 확인…웹 접속만 해도 해킹

Windows 메시지 큐를 이용한 CANONSTAGER 실행 개요. (사진 출처 : 구글)

중국과 연계된 해킹조직 UNC6384는 최근 외교관들을 타겟으로 한 정교한 스파이 공격을 감행했습니다. 이번 공격은 표면적으로는 소프트웨어 업데이트를 가장한 가짜 파일을 통해 이루어졌습니다. 구글의 위협 인텔리전스 그룹(GTIG)은 이 캠페인이 단순한 피싱을 넘어, 웹 트래픽을 가로채는 방식으로 진행되었다고 설명했습니다.

 

중국 해킹조직 UNC6384의 정체

 

UNC6384는 중국 해킹조직 중 하나로, 주로 정부 기관 및 외교관을 목표로 하는 스파이 활동을 해왔습니다. 이들은 다양한 공격 기법을 통해 기밀 정보를 탈취하는 데 특화되어 있습니다. 이번 공격 또한 그러한 맥락에서 발생하였으며, 국제 사회에서 큰 이슈가 되고 있습니다.

 

가짜 소프트웨어 업데이트의 기법

 

이번 공격의 큰 특징은 가짜 소프트웨어 업데이트를 통해 이루어졌다는 점입니다. 해커들은 사용자들이 신뢰할 수 있는 소프트웨어 업데이트로 착각하도록 유도하여 악성 프로그램을 설치하게 했습니다. 이러한 방식은 일반 사용자들이 잘 경계하지 않는 부분을 노린 것으로, 매우 교묘합니다.

 

악성 프로그램 STATICPLUGIN의 작동 원리

 

구글의 분석 결과에 따르면, 처음 다운로드된 파일은 STATICPLUGIN이라는 악성 프로그램으로, 정상적인 인증서를 통해 서명되어 있었습니다. 보안 프로그램의 입장에서 볼 때 이 파일은 정상 소프트웨어처럼 보였기 때문에 쉽게 차단되지 않았습니다. STATICPLUGIN은 추가 파일을 몰래 다운로드하여 설치하게 하였고, 이는 해커의 의도한 대로 진행되었습니다.

 

CANONSTAGER와 SOGU.SEC 백도어의 기능

 

STATICPLUGIN에 포함된 CANONSTAGER와 SOGU.SEC백도어는 매우 강력한 스파이 도구로 작동하였습니다. CANONSTAGER는 보안 툴이 확인하지 않는 윈도우 운영체제의 내부 기능을 활용하여 실행 흔적을 숨겼습니다. 이러한 점에서 해커들은 악성코드를 PC 화면에 보이지 않는 창에 몰래 숨기고, 윈도우 메시지 기능을 이용해 지속적으로 명령을 수행할 수 있었습니다. 이로 인해 사용자는 자신의 PC가 해킹당하고 있다는 사실을 전혀 알지 못하게 됩니다.

 

교묘한 공격 방식 : 캡티브 포털 활용

 

또한, 해커들은 공격 방식으로 캡티브 포털 기능을 활용했습니다. 사용자가 호텔이나 공항에서 와이파이에 접속할 때 나타나는 로그인 화면을 가장한 악성 웹사이트로 유도했습니다. 사용자가 인터넷 연결을 시도하면 해커가 중간에서 통신을 가로채고, 진짜 접속 화면 대신 가짜 사이트로 연결시키는 방식이었습니다. 이 웹사이트는 어도비 플러그인 업데이트 화면을 그대로 흉내 냈으며, ‘플러그인 설치’ 버튼을 클릭하면 악성 프로그램이 자동으로 설치되는 구조였습니다.

 

사례 분석 : 외교관 타겟 공격

 

이번 캠페인은 외교관들을 주타겟으로 삼았습니다. 이러한 공격은 국가 간의 외교적 긴장 관계가 높은 가운데 발생하였기 때문에 더욱 중요한 사안으로 여겨집니다. 외교관들은 기밀 정보를 다룰 가능성이 높기 때문에 해커들에게 매력적인 목표가 되는 것입니다.

 

보안 대책과 예방 방법

 

이런 상황에서 개인 사용자와 기업은 몇 가지 보안 대책을 마련해야 합니다. 첫째, 소프트웨어 업데이트 시 공식 웹사이트나 공인된 채널을 통해 확인해야 합니다. 둘째, 보안 프로그램을 항상 최신 상태로 유지하는 것이 중요합니다. 셋째, 외부 네트워크에 연결할 때에는 신뢰할 수 있는 방법으로 연결해야 하며, 가짜 사이트에 속지 않도록 주의해야 합니다. 마지막으로, 사용자 교육을 통해 보안 의식을 높이는 것이 필요합니다.

 

이와 같은 정교한 해킹 기법을 이해하고 대비하는 것이 현대 사회에서 매우 중요합니다. 보안 위협은 날로 증가하고 있으며, 이에 대한 경각심을 높여야 할 시점입니다.