본문 바로가기
카테고리 없음

중국 APT 그룹 분석 — 개요 및 배경

by 스킨케어, 뷰티 테라피, 화장품 전문가 2025. 9. 16.

 

중국 배후의 APT(지능형 지속 위협) 그룹들은 전 세계에서 관찰되는 APT 활동의 상당 부분을 차지하며, 주로 정부·국방·통신·해운·에너지·엔지니어링 같은 전략적 인프라를 표적으로 삼습니다. 이들 그룹은 단발성 해킹이 아니라 장기간의 정찰·침투·유지·자료 탈취의 전체 사이클을 운영하며, 정치적·경제적 목적을 위해 지적재산권과 민감한 인프라 정보를 체계적으로 탈취합니다.

정치·전략적 동기

중국 APT 활동은 종종 국가전략과 결부되어 나타납니다. 무기체계 개발, 항만 및 물류 정보, 대형 인프라 프로젝트(예: 일대일로 관련 프로젝트), 항공우주 설계도 등은 단순한 정보 수집을 넘어 국가경쟁력과 직결되는 자산입니다. 따라서 공격 대상 선정과 장기적 활동 계획은 단기적 이득이 아닌 장기적 전략에 맞춰집행됩니다.

공격 사이클 — 정찰에서 유출까지

  • 초기 정찰(Initial Reconnaissance): 인터넷 노출 자원(메일서버, 웹서버, 외부 관리 포털) 스캔과 소셜 엔지니어링(핀싱 포함)으로 취약점과 접촉점을 확인합니다.
  • 초기 침투(Initial Access): 피싱, 익스플로잇(제로데이·공개 취약점), 탈취된 자격증명 또는 서드파티 공급망을 통해 접근합니다.
  • 권한 상승 및 횡적 이동(Escalation & Lateral Movement): 로컬 권한 상승, 서비스 권한 탈취, RDP/SMB/SSH 등을 통한 내부 확산.
  • 유지 및 은닉(Persistence & Evasion): 백도어/스케줄러/서비스 등록, 프로세스 인젝션·코드 난독화·메모리 실행 등 탐지를 회피합니다.
  • 수집·유출(Data Collection & Exfiltration): 데이터 압축·암호화 후, 정상 서비스(클라우드 드라이브, 이메일, CDN)를 악용하거나 스테가노그라피 방식으로 빼냅니다.

기술적·작전적 특징 요약

중국계 APT는 맞춤형 멀웨어와 상용 도구의 혼합 사용, 합법적 서비스를 C2로 악용하는 전략, 그리고 표적 조직의 업무 흐름·시스템 특성을 장기간 관찰해 공격 경로를 치밀하게 설계하는 점이 특징입니다. 또한 로그 삭제, 프로세스 할로잉(process hollowing), 파일리스(fileless) 기법 등으로 전통적 보안솔루션을 회피합니다.

주요 그룹과 관심 포인트

대표적인 그룹으로는 APT1, APT40, APT41, 그리고 Aquatic Panda(문서에서는 Aquatic Panda로 표기된 그룹) 등이 있으며, 각각의 세부 전술·표적군·지리적 집중성이 다릅니다. 다음 섹션들에서 그룹별로 전술과 사례를 확장합니다.

APT41, APT40, APT1 — 전술·전략·사례 분석

APT41 — 다목적·상업적 이득과 정치적 스파이의 혼합

APT41은 전술적으로 상업적 이득을 위한 사이버범죄와 국가 이익을 위한 스파이 활동을 동시에 수행한 사례로 유명합니다. 이 그룹은 고도로 맞춤화된 멀웨어 체계를 운용하며, 표적 조직의 내부 구조를 파악한 뒤 장기간 은밀하게 활동합니다.

TOUGHPROGRESS와 모듈화된 멀웨어 아키텍처

TOUGHPROGRESS 같은 멀웨어는 보통 다층 모듈 구조로 설계됩니다. 예컨대:

  • 플러드 드로퍼(예: PLUSDROP) — 초기 페이로드(암호화된 이미지 등)를 배치하고 복호화 루틴을 실행.
  • 인젝터(예: PLUSINJECT) — 정상 프로세스(svchost 등)에 코드 주입으로 실행 환경을 위장.
  • C2 백도어(예: TOUGHPROGRESS) — 합법적 서비스(예: Google Calendar) 또는 HTTPS/REST API를 통해 원격 명령을 수신.

이런 구조는 탐지·분석·차단을 어렵게 만들며, 메모리 상에서만 동작하거나 파일을 최소화하는 경향이 강해 기존 파일 기반 탐지에 취약한 조직에서 특히 성공률이 높습니다.

APT40 — 일대일로(BRI) 연계형 스파이 작전

APT40은 중국의 일대일로(Belt and Road Initiative)와 연계된 경제·전략 목표를 지원하는 정보수집 임무를 수행한 것으로 알려져 있습니다. 주요 표적은 해양·항만·해운·국방·항공우주·엔지니어링 관련 기관과 기업입니다.

작전 목표와 수집 범위

APT40의 주요 활동은 다음과 같습니다:

  • 프로젝트 설계도면, 재무·계약 문서, 선적·물류 데이터 수집
  • 파트너십·정부 협상 문서와 기술 스펙 탈취
  • 해당 인프라의 취약성 및 운영 데이터 축적으로 향후 영향력 확장에 활용

이들의 활동은 단순 정보 수집을 넘어 산업적 우위 확보와 지정학적 영향력 확대에 활용될 가능성이 높습니다.

Aquatic Panda — FishMedley 작전 사례

Aquatic Panda(또는 FishMedley로 명명된 캠페인)는 클라우드 서비스와 오픈소스 툴을 적극 악용한 점이 특징입니다. 2021년 관찰된 이 작전은 다음과 같은 전술을 사용했습니다.

주요 전술 요약

  • 클라우드 기반 C2: GitHub, Dropbox, Google Drive 같은 합법적 플랫폼을 명령·제어 채널로 사용하여 네트워크 계층에서의 이상 트래픽 탐지를 어렵게 함.
  • 오픈소스 도구 악용: PowerShell 기반 프레임워크나 Cobalt Strike 같은 상용·공개 도구를 변형해 사용함으로써 출처 추적을 혼란스럽게 만듦.
  • 복수 백도어 및 접근 경로: 주요 시스템에 다수의 접근 계층을 유지하여 한 경로가 차단되어도 다른 경로로 활동을 지속.
  • 단계적 유출: 데이터를 소규모로 나눠 여러 채널을 통해 유출하여 DLP(데이터 유출 방지) 규칙을 회피.

운영상의 교훈

FishMedley 사례는 보안 운영팀이 단순한 서명 기반 탐지만으로는 충분치 않음을 상기시킵니다. 정상 서비스(클라우드 드라이브 등)를 통한 통신을 모니터링하고, 비정상적 사용 패턴(예: 평소 적게 쓰이는 계정의 대용량 업로드)을 경계해야 합니다.

탐지, 대응 및 방어 권고 — 실무 체크리스트

사전 예방(하드닝)

  • 패치 관리: 운영체제·미들웨어·DB·웹 애플리케이션의 취약점 패치를 신속히 적용합니다.
  • 최소 권한 원칙: 계정·서비스에 대해 최소 권한만 부여하고, 관리계정 사용을 엄격히 통제합니다.
  • 망분리·네트워크 세분화: 핵심 자산과 일반 업무 네트워크를 분리하고, 동작 기반 정책(마이크로세그멘테이션)을 적용합니다.
  • MFA 도입: 모든 원격 접속과 중요 시스템 로그인에 멀티팩터 인증을 의무화합니다.

탐지 역량 강화

  • EDR·XDR 운영: 엔드포인트·네트워크·클라우드 전반의 가시성을 확보하고 이상행위(파일리스 실행, 권한 상승, 비정상 프로세스 인젝션)를 탐지합니다.
  • 로그 수집 및 상관분석: SIEM에 모든 보안·운영 로그를 집계하고, TTPs(전술·기법·절차) 기반의 상관 규칙을 마련합니다.
  • 클라우드 서비스 모니터링: 합법적 클라우드 저장소(Google Drive, GitHub 등)의 비정상 사용(예: 비정상적 토큰 발급, 대량 업로드)을 탐지합니다.

사건 대응(Incident Response)

  1. 초동대응: 의심 활동 발견 즉시 계정 차단·네트워크 세그멘트 분리·포렌식 전용 이미지 확보.
  2. 증거 수집: 메모리 덤프, 이벤트 로그, 네트워크 캡처(PCAP), 파일 샘플을 안전하게 보관.
  3. 분석: 샘플 역공학, C2 도메인/서버 식별, 유출 데이터 범위 파악.
  4. 복구 및 복원: 오염되지 않은 백업을 이용해 서비스 복구, 동일 취약점 차단을 위한 패치·구성 변경 수행.
  5. 사후 보고 및 개선: IOC(지표) 공유, 보안정책 업데이트, 관련자 교육 수행.

실무용 IOCs(검토 포인트)

조직 내부에서 아래 항목들을 모니터링하세요 (구체적 값은 조직별로 수집해야 함):

  • 비정상적 도메인/서버로의 HTTPS 연결(특히 클라우드 드라이브로 위장한 호스트)
  • 정상 프로세스(svchost, explorer, powershell)에 대한 비정상적 DLL 로딩 또는 인젝션 이벤트
  • 평소 업무와 무관한 계정의 대량 파일 업로드/다운로드
  • 스케줄러/서비스 등록의 예기치 않은 변경
  • 로그 삭제, 시스템 타임라인의 불연속성

법적·정책적 고려사항

대규모 APT 사건은 단순 기술 대응을 넘는 법적·외교적 파급력이 있을 수 있으므로, 보안 사고 발생 시 관련 기관(법집행기관·규제기관)과의 협업 계획을 사전에 마련해야 합니다. 또한 해외 표적 공격의 경우 데이터 보호·프라이버시 규제(예: 개인정보보호법, EU GDPR 등)를 확인해 통지 의무를 준수해야 합니다.

결론 — 장기적 준비의 중요성

중국 배후 APT 그룹들의 활동은 기술적 정교성뿐 아니라 조직적·전략적 목표를 가지고 있습니다. 따라서 단기적 차단·탐지만으로는 완전한 방어가 어렵습니다. 다층 방어(people, process, technology)와 지속적 위협 사냥(Threat Hunting), 그리고 사고 발생 시 신속한 포렌식·법적 대응 체계 구축이 핵심입니다. 마지막으로, 위협 인텔리전스(공유 가능한 IOCs와 TTPs)를 통해 업계·동맹과 협업하면 탐지·대응 역량을 크게 향상시킬 수 있습니다.

티스토리툴바