[지디넷코리아]
이란과 연계된 것으로 추정되는 해킹 세력이 전 세계 1만2000개 IP를 정찰한 후 중동·글로벌 핵심 인프라에 침투한 것으로 파악됐다. 일부 기관에서는 실제 데이터 탈취 및 외부 유출까지 이어진 것으로 분석됐다.
사이버 위협 인텔리전스(CTI) 전문 기업 오아시스시큐리티는 란과 연계된 것으로 추정되는 해킹 그룹이 전 세계를 대상으로 대규모 취약점 정찰을 수행한 뒤, 중동을 중심으로 다수 국가의 정부기관 및 핵심 인프라를 대상으로 선별적 침투 공격을 진행한 정황을 확인했다고 14일 밝혔다.
이번 분석은 공격자가 실제 운용 중이던 명령제어(C2) 서버 및 공격 인프라 데이터를 분석한 결과다. 침투부터 내부 확산, 계정 탈취, 데이터 유출에 이르는 전 과정이 기술적으로 검증된 점에서 의미가 크다.
오아시스시큐리티에 따르면 공격자는 파이썬 및 Go 언어로 개발된 다수의 C2 컨트롤러를 운용한 것으로 나타났다. AES 기반 암호화 통신, 클라이언트 식별, TCP/UDP 다중 통신 구조 등을 활용해 감염 시스템을 정밀하게 제어했다.
공격자는 Citrix NetScaler VPN(CVE-2025-5777)을 비롯해 Laravel Livewire, SmarterMail, n8n, N-central, Langflow 등 최신 원격 코드 실행(RCE) 및 인증 우회 취약점 등 최소 5종의 고위험 취약점(CVE)을 무기화했다. 이어 전 세계 인터넷 노출 시스템을 대상으로 약 1만2000개 이상의 IP를 스캐닝했으며, 취약 대상을 선별한 것으로 나타났다.
이런 정찰 활동 이후 글로벌 인프라 전반을 대상으로 실제 공격까지 수행했다. 공격은 군수, 항공, 에너지 등 국가 핵심 기능을 담당하는 조직을 중심으로 선별적으로 진행됐다. 특히 이집트, 아랍에미리트, 이스라엘 등 중동 주요 국가를 포함해 다수 국가의 정부 및 공공기관에서 실제 침해 정황이 확인됐다.
실제 확보된 데이터 분석 결과, 이집트 항공사 관련 시스템에서 여권, 비자, 급여 정보, 신용카드 정보 등 민감 데이터 약 200여 건이 외부로 유출된 것으로 확인됐다. 또한 이집트 군수생산부, 국영 석유·가스 기업, UAE 에너지·해양 인프라 기업 등을 대상으로 한 계정 탈취 및 접근 시도 및 일부 성공 정황이 함께 확인됐다. 이 외에도 포르투갈, 인도 대상 공격이 추가로 확인됐다.
이번 공격 활동은 2월 초 최초 식별됐다. 오아시스시큐리티는 중동 지역의 군사적 긴장이 고조되기 이전 시점과 맞물려 공격이 진행된 것으로, 해당 해킹 그룹의 전략적 공격 수행 가능성도 점쳤다.
오아시스시큐리티 관계자는 “이번 사례는 이란 연계 해킹 그룹이 수행한 것으로 추정되는 공격으로, 대규모 정찰부터 실제 데이터 탈취까지 이어지는 전형적인 사이버 첩보 활동의 특징을 보인다”며 “특히 공격 인프라 데이터를 확보함으로써 다양한 공격 흐름까지 확인할 수 있었다”고 밝혔다.
이어 “이러한 공격은 단순 침해 사고를 넘어 국가 핵심 인프라를 겨냥한 위협으로 진화하고 있다”며 “공격자 인프라와 운영 패턴을 기반으로 한 선제적 대응 체계 구축이 필수적”이라고 강조했다.