by Wizard

중국 해커 APT41, 구글 캘린더 악용한 사이버 공격! 주의보 발령

최근 구글에서 중국 정부 지원을 받는 해커 조직 APT41이 구글 캘린더를 악용하여 사이버 공격을 수행한 사실을 밝혀냈습니다. 구글의 위협 인텔리전스 그룹(TIG)은 APT41이 악성 명령을 전달하고 정보를 빼돌리는 데 구글 캘린더를 사용한 정황을 포착하고, 즉각적인 대응에 나섰습니다. 이번 사건은 클라우드 서비스를 악용한 사이버 공격이 점점 더 교묘해지고 있음을 보여주는 사례로, 사용자들의 각별한 주의가 필요합니다.

APT41, 어떻게 구글 캘린더를 악용했나?

APT41은 먼저 정부 웹사이트를 해킹하여 악성 .ZIP 파일을 업로드했습니다. 이 파일은 피싱 이메일을 통해 잠재적 목표에게 배포되었으며, 피해자가 파일을 열면 악성 코드가 실행되는 방식으로 공격이 진행되었습니다. ZIP 파일 내부에는 DLL 파일과 JPG로 위장한 실행 파일, 그리고 PDF 문서로 위장한 Windows 바로 가기 파일(LNK)이 포함되어 있었습니다. 피해자가 가짜 PDF 문서를 열면 바로 가기 파일이 DLL을 실행시키고, DLL은 "ToughProgress"라는 악성 페이로드를 복호화하여 실행합니다.

캘린더 속 숨겨진 명령, 그리고 정보 유출

ToughProgress는 구글 캘린더의 특정 이벤트에서 추가 명령을 읽어옵니다. 해커들은 캘린더 이벤트의 설명 필드나 숨겨진 이벤트에 명령을 숨겨놓았습니다. 탈취한 정보를 전송하기 위해, APT41은 5월 30일에 0분 길이의 새로운 캘린더 이벤트를 생성하고, 암호화된 데이터를 해당 이벤트 설명에 기록하는 방식으로 정보를 유출했습니다.

보안 솔루션 무력화, 더욱 교묘해진 공격

이번 공격의 가장 큰 특징은 악성 코드가 디스크에 설치되지 않고, C2 통신이 합법적인 구글 서비스를 통해 이루어진다는 점입니다. 이러한 방식으로 APT41은 대부분의 보안 제품의 탐지를 피할 수 있었습니다. 구글은 이러한 위협에 대응하기 위해 APT41의 악성 코드를 식별하고 차단하는 맞춤형 탐지 시그니처를 개발하고, 관련 Workspace 계정 및 캘린더 항목을 삭제했습니다. 또한, 파일 탐지 기능을 업데이트하고 악성 도메인 및 URL을 Google 세이프 브라우징 차단 목록에 추가했습니다.

피해 기업 발생, 구글의 발빠른 대응

구글은 이번 공격으로 인해 피해를 입은 기업들에게 네트워크 트래픽 로그 샘플 및 공격자 정보 등을 제공하여 사고 대응을 지원했습니다. 피해를 입은 기업의 수는 정확히 밝혀지지 않았지만, 이번 사건은 클라우드 서비스를 악용한 사이버 공격의 위험성을 다시 한번 강조하는 계기가 되었습니다.

유사 공격 예방을 위한 사용자 주의사항

이번 사건을 통해 우리는 다음과 같은 점에 유의해야 합니다.
* **출처가 불분명한 이메일 첨부파일 및 링크는 절대 클릭하지 마세요.** 특히, PDF, JPG 등 일반적인 파일 형식을 위장한 악성 파일에 주의해야 합니다.
* **운영체제 및 소프트웨어를 항상 최신 버전으로 유지하세요.** 보안 패치를 통해 알려진 취약점을 해결해야 합니다.
* **강력한 비밀번호를 사용하고, 주기적으로 변경하세요.** 또한, 2단계 인증을 활성화하여 계정 보안을 강화하세요.
* **수상한 캘린더 이벤트는 즉시 삭제하고, 발신자를 차단하세요.**
* **백신 소프트웨어를 설치하고, 최신 업데이트를 유지하세요.** 또한, 주기적으로 전체 시스템 검사를 수행하세요.