“APT41, 사용자가 신뢰하는 SaaS 기반 플랫폼 지속적으로 악용해 탐지 어렵게 만들고 있다”
중국 정부와 연계된 것으로 알려진 해킹 조직 APT41이 구글(Google) 캘린더 서비스를 악용해 명령제어(C2) 통신을 수행한 정황이 구글 위협 인텔리전스 그룹(GTIG)에 의해 확인됐다.
공격에 사용된 악성코드는 ‘터프프로그레스(TOUGHPROGRESS)’로 명명됐으며, 피해자 시스템 내부에서 정교하게 단계적으로 작동하는 형태로 구성돼 보안 솔루션 탐지를 회피하는 고도화된 공격이었다.
구글 캘린더 기반 C2 채널 악용
공격자는 먼저, 정부기관 웹사이트를 해킹해 ZIP 압축 파일을 호스팅한 뒤, 대상자에게 악성 ZIP 링크가 포함된 피싱 이메일을 발송하는 방식으로 공격을 시작했다. 압축 파일 내부에는 PDF로 위장한 LNK 바로가기 파일과 이미지 파일로 가장한 DLL 및 암호화 페이로드 파일이 포함되어 있었다.
피해자가 LNK 파일을 실행하면 DLL(PlusDrop)이 작동하며, 암호화된 페이로드(6.jpg)를 복호화해 메모리 상에 로딩한다. 이 후 PlusInject 모듈이 Windows 합법 프로세스인 svchost.exe에 프로세스 할로잉 기법으로 ‘터프프로그레스’를 삽입하며 공격을 지속한다.
터프프로그레스는 사전에 하드코딩된 구글 캘린더 API 엔드포인트에 접근해 특정 날짜에 생성된 비공개 이벤트의 설명란에서 공격자의 명령을 수신한다. 명령이 실행되면 결과값은 다시 새로운 이벤트로 업로드되며, 공격자는 이를 통해 추가 명령을 조율할 수 있도록 설계돼 있었다.
구글은 “명령과 결과가 전부 구글 인프라 내에서 암호화된 이벤트로 주고받기 때문에, 악성 네트워크 트래픽이나 파일 흔적이 남지 않아 탐지가 매우 어렵다”고 설명했다.
공격 인프라 해체 및 대응 조치
구글 위협 인텔리전스 그룹은 이 공격을 확인한 즉시, APT41이 통제하던 구글 워크스페이스 계정 및 캘린더 인스턴스를 차단하고 삭제 조치했다. 또한, 해당 공격에 사용된 도메인을 구글의 ‘Safe Browsing’ 블록리스트에 등록해 향후 접속 시 경고가 나타나도록 조치했다.
구글은 이번 공격에 노출된 피해 조직에 대해 직접 통보했으며, 악성코드 샘플 및 트래픽 로그를 공유해 감염 확인 및 분석을 지원했다고 밝혔다. 이 과정에서 구글은 맨디언트(Mandiant)와 협업을 통해 조사 및 대응을 진행했다.
APT41의 지속적인 클라우드 서비스 악용 전술
APT41은 과거에도 구글 서비스를 악용한 공격 사례가 다수 존재한다. 2023년 4월에는 ‘볼드모트(Voldemort)’ 악성코드를 통해 구글 드라이브와 구글 시트를 명령제어 인프라로 활용한 캠페인이 보고된 바 있다. 이러한 정황은 APT41이 구글 인프라를 지속적이고 전략적으로 활용하고 있음을 시사한다.
버라이즌 보안 전문가들은 “APT41은 일반 사용자가 신뢰하는 SaaS 기반 플랫폼을 지속적으로 악용해 탐지를 어렵게 만들고 있다”며 “공격자들이 클라우드 서비스를 은폐 수단으로 사용하고 있어 전통적인 보안 체계만으로는 대응이 한계에 다다르고 있다”고 지적했다.
사이버보안 전문가들은 이번 사례처럼 클라우드 인프라가 공격 경로로 활용되는 사례가 늘어나는 만큼, 보안 솔루션 외에도 클라우드 접근제어 및 모니터링 시스템의 강화가 시급하다고 강조하고 있다. 특히 구글 캘린더처럼 엔터프라이즈 환경에서 일상적으로 사용되는 서비스가 공격 도구로 활용될 경우, 내부 사용자 교육과 보안 정책의 정비가 필수라는 의견이다.
또한, 클라우드 API 통신에 대한 이상 탐지 기능과 세분화된 로깅, 외부 연동 시 데이터 행위 분석 등의 기술 적용도 필요하다는 목소리가 커지고 있다.
APT41의 이번 공격은 클라우드 신뢰 인프라를 교묘히 악용한 대표적인 지능형 위협 사례로, 모든 조직이 SaaS 기반 서비스에 대한 위협 인식을 새롭게 정립하고 방어 전략을 재구성해야 할 시점임을 알 수 있다.
![[포토] 대선 앞두고 사이버테러 위협 대응](https://img.etnews.com/news/article/2025/05/23/news-p.v1.20250523.fed476fd84d74c449b187badcd11d549_P1.jpg)
