[디지털투데이 황치규 기자]안랩 ASEC(AhnLab SEcurity intelligence Center)과 국가사이버안보센터(NCSC, National Cyber Security Center, 이하 ‘NCSC’)가 중국과 연관된 것으로 추정되는 APT 그룹 ‘TA-ShadowCricket(티에이 섀도우크리켓, 별칭: Shadow Force)’ 최근 사이버 공격 활동을 공동으로 추적·분석한 APT 그룹 추적 보고서를 23일 내놨다.

TA-ShadowCricket’은 2012년 경부터 활동을 시작한 것으로 추정되며, 중국 연관성이 의심되나 국가 지원 여부는 불확실한 APT 공격 그룹이다.  이들은 관련 정보가 거의 없어 보안 업계에서도 상대적으로 주목을 받지 않았던 조직이다.

이번 보고서는 안랩과 NCSC가 2023년부터 최근까지 ‘TA-ShadowCricket’ 활동을 공동으로 추적한 결과를 담고 있다.

보고서에 따르면 ‘TA-ShadowCricket’은 외부에 노출된 윈도 서버 원격 접속(RDP) 기능이나 s데이터베이스인 SQL서버 접속을 노려 시스템에 침투해, 전 세계 2000대 이상 감염된 시스템을 조용히 통제해오고 있었던 것으로 나타났다. 이 밖에도 보고서는 해커들이 사용한 악성 프로그램의 종류, 감염 방식, 피해 범위 등과 관련한 정보도 포함하고 있다.

이번 분석을 주도한 안랩 ASEC A-FIRST팀 이명수 팀장은 “이번 공격 그룹은 수천 개 피해 시스템과 C&C 서버를 13년 이상 운영하면서도 조용히 활동해 온 보기 드문 사례”라며, “이처럼 장기간 통제되고 있는 감염 시스템은 공격자 의도에 따라 언제든 실제 공격에 활용될 수 있는 만큼, 악성코드 제거와 C&C 서버 무력화 등 선제적인 대응이 무엇보다 중요하다”고 말했다.