[디지털데일리 김보민기자] 중국 배후 스파이 그룹이 정부 기관과 통신사를 노리고 있다는 경고가 나왔다. 공격자는 악성코드 등 신종 백도어를 활용해 시스템 침투를 시도한 것으로 나타났다.

구글 위협인텔리전스 그룹(GTIG)과 맨디언트는 중국 배후로 추정되는 스파이 그룹 'UNC2814'에 대한 최신 연구 결과를 27일 발표했다. 조사에 따르면 현재까지 42개국에서 53개 피해 조직이 확인됐고, 20개국에서 추가 공격 흔적이 확인됐다.

맨디언트는 2025년 말 해당 그룹이 침투한 시스템에 장기간 머무르기 위해 신종 백도어 'GRIDTIDE'를 유포하고 있다는 사실을 확인했다.

GRIDTIDE는 C언어 기반 악성코드로, 정상적인 클라우드 스프레드시트를 C2 인프라로 전환해 피해자로부터 원시 데이터를 전송받는 기능을 수행한다. 공격자가 제어하는 구글 스프레드시트를 명령 및 제어(C2) 서버로 활용하도록 돕기도 했다.

공격자는 이를 통해 공격 트래픽을 일반적인 네트워크 트래픽처럼 위장한 것이다. 정상적인 서비스 기능을 악용해 탐지를 피한 것이다. 자체 인프라를 구축하는 대신 서비스형소프트웨어(SaaS) 플랫폼을 활용하기도 했다.

UNC2814는 글로벌 통신사와 정부 기관을 표적으로 삼았다. 탈취된 데이터 전반을 확인하는 데는 한계가 있지만, 개인정보와 통화 기록, 문자 메시지 트래픽 등을 수집해 특정 인물의 통신을 식별하고 추적·감시하려 한 것으로 추정된다. 여러 침해 사례에서 국가 식별 번호와 유권자 번호 등 민감한 개인정보를 노린 정황도 드러났다.

구글은 공조를 통해 공격자가 제어하던 클라우드 프로젝트를 종료하고 관련 계정을 비활성화했다. 또한 현재와 과거 도메인을 싱크홀 처리해 침해된 환경으로의 접근을 차단했다. 싱크홀 처리는 해커의 명령 통로를 차단한 뒤 이를 안전한 서버로 우회 연결해 공격자의 접근을 무력화하는 방식이다.

구글은 "이번 조치로 UNC2814가 10년간 구축해 온 글로벌 인프라는 크게 후퇴할 것으로 예상된다"고 말했다.