구글 클라우드 위협 인텔리전스 그룹(GTIG)과 맨디언트는 업계 파트너들과 공조해 중국 배후로 추정되는 사이버 스파이 그룹 'UNC2814'의 글로벌 공격 인프라를 대규모로 무력화했다고 26일(현지시간) 발표했다.
GTIG에 따르면 UNC2814는 전 세계 42개국에서 최소 53건의 침해 사고를 일으켰으며, 추가 공격을 위해 약 20개국에서 추가 정찰 활동을 벌인 것으로 드러났다. 이들은 주로 글로벌 통신사와 정부 기관을 타깃으로 삼아 개인정보, 통화 기록, 문자 메시지 트래픽 등을 탈취해 특정 인물에 대한 추적 및 감시를 시도했다.
이번 무력화 작전의 결정적 계기는 2025년 말 발견된 신종 백도어 '그리드타이드(GRIDTIDE)'였다. C 언어 기반의 이 악성코드는 구글 스프레드시트를 명령제어(C2) 서버로 활용하는 고도의 은폐 기법을 사용했다. 공격 트래픽을 일반적인 클라우드 서비스 이용으로 위장해 보안 장비의 탐지를 회피한 것이다.
구글 측은 “이는 구글 스프레드시트의 보안 결함을 이용한 것이 아니라, 정상적인 기능을 악용한 사례에 가깝다”며 “공격자들이 자체 서버 대신 서비스형 소프트웨어(SaaS) 플랫폼을 활용하는 최신 공격 트렌드를 보여준다”고 설명했다.
또 일각에서 제기한 UNC2814와 '솔트 타이푼(Salt Typhoon)' 간의 연관성에 대해서는 명확히 선을 그었다. GTIG는 “UNC2814는 지난 10여 년간 추적해온 독립적인 위협 조직으로, 솔트 타이푼과는 전술(TTPs)과 인프라 면에서 전혀 다른 유형의 피해자들을 공격하는 것으로 보인다”고 밝혔다.
구글은 이번 공조를 통해 공격자가 제어하는 클라우드 프로젝트를 즉각 종료하고, 관련 도메인을 '싱크홀(Sinkhole)' 처리해 침해 시스템으로의 접근을 차단했다. 이번 조치로 UNC2814가 10년에 걸쳐 구축해온 글로벌 공격 거점이 상당 부분 파괴되며 이들의 활동이 위축될 전망이다.
GTIG는 “그리드타이드의 구조는 가변적이어서 다른 클라우드 기반 협업 도구로도 확장될 위험이 있다”며 “피해 기관에 공식 통보를 완료했고 추가적인 침해 지표(IOC)도 공유했다”고 강조했다.
박진형 기자 jin@etnews.com
