중국 연계 해킹조직이 북미지역 학계·의료·군사 연구기관을 1년 넘게 공격한 정황이 공개됐다. 인공지능(AI), 무인체계, 국방, 의료 분야 연구자료가 주요 수집 대상이었다.

구글 위협정보그룹(GTIG)은 16일 중국 연계 해킹조직 '유엔씨6508'(UNC6508)의 장기 사이버 첩보 활동 분석 결과를 공개했다.

UNC6508은 북미 지역 학계와 의료·군사 연구기관을 겨냥했다. 외부에 노출된 웹 애플리케이션을 뚫고 내부 시스템으로 들어간 뒤 맞춤형 악성코드와 관리자용 도구를 활용해 장기간 탐지를 피한 것으로 분석됐다.

공격자가 노린 것은 단순 개인정보가 아니었다. 구글은 국가안보 관련 국방 정보와 인도·태평양 작전, AI, 무인체계, 사이버 공격 프로그램, 의료 연구 등이 공격자의 관심 대상이었다고 설명했다.

침투 경로 중 하나로는 연구용 데이터 수집·관리 플랫폼 '레드캡'(REDCap) 서버가 지목됐다. 레드캡은 의료·과학 연구에서 설문과 데이터베이스를 구축하고 관리하는 데 쓰이는 웹 기반 플랫폼이다.

구글에 따르면 UNC6508은 2023년 9월 북미 한 의료 연구기관의 레드캡 서버에 침투했다. 이후 맞춤형 악성코드 '인피니트레드'(INFINITERED)를 심어 로그인 정보를 빼냈고, 1년 넘게 내부 시스템 접근을 이어갔다.

탈취한 계정은 추가 침투에도 쓰였다. 이들은 관리자 권한에 접근한 뒤 이메일 규칙을 조작해 특정 키워드나 이메일 주소가 포함된 메시지를 공격자 계정으로 몰래 전달하도록 설정했다.

구글은 이런 방식이 중국 연계 위협 행위자에게서 공개적으로 널리 관측된 적 없는 새로운 정보 탈취 기법이라고 평가했다.

중국 연계 해킹조직이 전략 기술과 IT 공급망을 노리는 흐름도 잇따라 포착되고 있다.

크라우드스트라이크는 지난 9일 공개한 '2026 기술 위협 지형 보고서'에서 중국 연계 해커가 2025년 4월부터 2026년 3월까지 기술기업에 가장 큰 사이버 첩보 위협이었다고 분석했다.

마이크로소프트도 지난해 3월 중국 연계 조직 '실크 타이푼'(Silk Typhoon)이 원격관리 도구와 클라우드 애플리케이션 등 일반 IT 설루션을 초기 침투 통로로 삼는 방향으로 전술을 바꿨다고 밝힌 바 있다.

이번 사례는 연구기관이 보유한 첨단 기술자료가 사이버 첩보의 직접 표적이 되고 있음을 보여준다. 개인정보 탈취를 넘어 AI와 무인체계, 의료 연구처럼 국가 경쟁력과 안보에 맞닿은 분야까지 해킹조직의 관심권에 들어오면서 우려가 커지고 있다.



kxmxs4104@news1.kr