구글은 월요일 중국과 연관이 있는 것으로 확인된 해커 그룹이 대학, 의료 및 군사 연구 기관을 표적으로 삼아 미국과 캐나다의 여러 과학 연구 기관에 1년 넘게 비밀리에 침입하여 데이터를 훔쳤다고 밝혔습니다. 이번 작전은 2023년 9월부터 2025년 11월까지 진행됐다. 이 기간 해커들은 국방정보, 인도·태평양 지역 군사전략, 인공지능, 무인체계, 사이버전 프로젝트, 의학과학 연구 분야에서 정보 탈취 활동을 펼쳤다.
Google의 위협 인텔리전스 팀은 최신 보고서에서 공격을 받은 조직의 이름이 대중에게 공개되지 않았지만 이러한 부서의 연구 범위는 약물 발견 및 임상 시험부터 공중 보건 정책 및 군사 준비에 이르기까지 다양하며 수천 명의 인력과 수십억 달러의 통합 과학 연구 예산이 필요하다고 밝혔습니다. 구글은 이 행위를 자사 내부 해커 그룹 'UNC6508'의 소행으로 간주해 비교적 새롭지만 거의 알려지지 않은 사이버 스파이 그룹이라고 불렀다. 그 운영 방식은 중국 정부의 관심을 불러일으킬 것으로 의심되는 정보 및 연구 결과에 중점을 두고 수년 동안 '중국 관련'으로 분류되어 온 해킹 활동의 기술 및 목표와 매우 일치합니다.
워싱턴 주재 중국대사관은 논평 요청에 즉각 응답하지 않았다. 중국은 불법 해킹 활동 수행이나 묵인을 항상 부인해 왔으며 비슷한 비난이 제기될 때마다 자신도 사이버 공격의 피해자임을 강조하며 모든 국가에 대화와 협력을 통해 사이버 보안 문제를 해결할 것을 촉구합니다.
Google의 조사에 따르면 이 스파이 활동의 가장 초기에 알려진 징후는 2023년 9월로 거슬러 올라갑니다. 당시 공격자는 REDCap을 실행하는 서버의 보안 취약점을 이용하여 침입을 시작했습니다. REDCap은 비영리 단체에서 널리 사용되는 웹 애플리케이션으로, 온라인 설문지 및 과학 연구 데이터베이스를 구축하고 관리하는 데 자주 사용됩니다. 해커는 자체 제작한 악성 코드를 사용하여 합법적인 REDCap 로그인 자격 증명을 훔치고 정기적인 경고를 발생시키지 않고 대상 네트워크에 잠입한 다음 특정 키워드와 검색어가 포함된 이메일을 자신이 관리하는 Gmail 계정으로 전달하여 민감한 정보를 지속적으로 수집하는 자동화된 시스템을 설정했습니다.
보고서는 구글 연구원들이 이러한 키워드와 검색어가 공격을 받은 조직 내 여러 인원의 전화번호와 이메일 주소는 물론 지정학적 정책, 군사 전략, 첨단 기술, 의학 연구와 관련된 전문 용어를 포함해 150개에 가까운 것을 발견했다고 지적했다. 이 메커니즘을 통해 해커들은 1년 이상 동안 국방, 기술, 의료 문제와 밀접하게 관련된 대량의 이메일 통신을 선별하고 내보낼 수 있었습니다. REDCap은 공격 및 악용에 대한 질문에 응답하지 않았습니다.
구글은 결국 미국과 캐나다에서 피해를 입은 다수의 조직을 파악하고 관련 부서에 하나씩 통보해 침입 경로 식별, 악용된 시스템 취약점 차단, 후속 보호 조치를 취할 수 있도록 지원했다고 밝혔습니다. 아직 구체적인 피해 조직과 피해 내용은 공개되지 않았지만, 이번 사건은 고부가가치 과학 연구와 국방 정보를 겨냥한 또 하나의 장기적인 침투 작전으로 간주돼 학계, 의료, 군사 분야에서 초국가적 사이버 스파이 활동의 위험성이 지속적으로 높아진다는 점을 부각시키고 있다.