구글 워크스페이스 규칙 악용한 중국 해커, 연구·방위 이메일 1년 넘게 탈취

REDCap 백도어, 연구 인프라를 노린 신종 침투 루트

최근 구글의 위협 인텔리전스 그룹(GTIG)은 중국과 연계된 해킹 그룹 UNC6508이 REDCap(Research Electronic Data Capture) 연구 플랫폼을 겨냥한 대규모 사이버 침투 campaign를 공개했다. REDCap는 병원, 대학, 연구 기관이 임상 시험·조사 데이터베이스를 구축하고 관리하는 웹 기반 플랫폼으로, 미국과 캐나다의 의료·학술·방위 연구 네트워크가 주로 사용한다. 공격자들은 REDCap 서버에 백도어를 설치해 로그인 인증 정보를 탈취한 뒤 내부 네트워크로 침투하는 방식으로 1년 넘게 활동해 왔다.

공격자들은 REDCap 서버에 침투한 후 내부 탐색을 진행하며 데이터베이스 및 서비스 계정 인증 정보를 수집했다. 이 과정에서 REDCap 시스템 파일 자체를 변조하는 맞춤형 악성코드 INFINITERED를 배포했는데, 이 악성코드는 REDCap의 정상 파일로 위장해 활동 흔적을 숨겼다. 구글은 초기 침투 시점(2023년 9월경)으로 거슬러 올라가는 공격을 확인했으며, 활동이 2025년 11월까지 지속된 것으로 분석했다. REDCap는 의료·학술 분야에서 연구 데이터 관리에 필수적인 도구인 만큼, 이 같은 백도어 공격은 연구 인프라 전반에 걸쳐 보안 취약점을 노린 전략적 공격으로 볼 수 있다.

구글 워크스페이스 규칙 악용, 이메일 자동 필터링으로 유출

UNC6508의 가장 주목할 만한 공격 기법은 구글 워크스페이스(Google Workspace)의 ‘콘텐츠 준수 규칙(Content Compliance Rules)’을 악용한 것이었다. 콘텐츠 준수 규칙은 조직 내 이메일을 모니터링하고 특정 키워드나 조건에 맞는 메시지를 자동으로 복사·전송·삭제할 수 있는 관리자 기능으로, 주로 데이터 유출 방지(DLP) 정책으로 활용된다. 공격자들은 이 기능을 역이용해 조직 내 이메일 트래픽을 실시간으로 감시하고, 민감한 정보를 공격자-controlled Gmail 주소로 자동 전달하는 규칙을 설정했다.

구글에 따르면 공격자들은 ‘Patroit’이라는 오타가 포함된 규칙을 생성해 약 150개의 키워드, 검색어, 이메일 주소를 모니터링 대상으로 지정했다. 이 키워드들은 연구·방위 분야와 관련한 민감한 용어들로 구성됐으며, 메시지가 해당 조건에 맞을 경우 구글 워크스페이스는 자동으로 해당 이메일을 BCC로 공격자 이메일 주소에 복사했다. 이 과정에서 사용자나 관리자에게는 어떠한 알림도 표시되지 않았으며, 공격자들은 구글 워크스페이스가 이 규칙을 처리하는 동안 아무런 의심 없이 활동할 수 있었다. 구글은 이 공격자-controlled Gmail 주소를 차단한 상태지만, 이미 유출된 데이터의 규모와 범위는 아직 명확히 공개되지 않았다.

##REDCap 백도어의 초기 침투 경로와 내부 권한 상승

공격자들은 REDCap 서버에 어떻게 침투했는지는 아직 명확히 밝혀지지 않았다. 구글은 초기 접근 벡터로 알려진 특정 CVE나 취약한 버전을 명시하지 않았고, 다만 공격자들이 오래된 REDCap 버전을 겨냥해 취약점을 탐색했다는 사실만 확인했다. REDCap는 오픈 소스 기반의 플랫폼이지만, 많은 기관에서 자체 호스팅 형태로 사용하고 있어 보안 패치 적용이 지연되거나 관리되지 않는 경우가 많다. 특히 외부 노출이 허용된 REDCap 서버는 공격 표면이 넓어졌고, 이 점이 공격자들의 주요 타겟이 됐다.

REDCap 서버에 침투한 후 UNC6508은 내부 탐색을 진행하며 데이터베이스 인증 정보와 서비스 계정 로그인을 탈취했다. 이 과정에서 REDCap의 시스템 파일 자체를 변조하는 INFINITERED 악성코드를 배포했는데, 이 악성코드는 REDCap의 정상적인 라이브러리나 스크립트로 위장해 활동했다. 이후 공격자들은 도메인 관리자 권한까지 획득했으며, 구글은 이 권한 상승 과정이 어떻게 이뤄졌는지는 구체적으로 설명하지 않았다. 다만 도메인 관리자 권한을 획득한 후 공격자들은 구글 워크스페이스 규칙을 조작해 이메일 유출을 자동화할 수 있었고, 이는 공격의 효율성과 은폐성을 크게 높이는 계기가 됐다.

의료·학술·방위 분야를 겨냥한 전략적 사이버 스파이 활동

이번 공격은 특정 산업이나 조직을 겨냥한 전략적 사이버 스파이 활동의 전형적인 사례다. UNC6508은 의료, 학술, 방위 연구 기관을 대상으로 삼았으며, 특히 임상 시험 데이터, 연구 결과, 방위 관련 통신 등을 노렸다. 구글의 보고서에 따르면 피해 조직은 미국과 캐나다에 걸쳐 있으며, 임상 제공자, 대학 연구 센터, 군사 보건 기관, 의료 규제 기관 등 다양한 유형의 기관이 포함됐다. 이 같은 광범위한 타겟팅은 공격자들이 특정 국가의 연구 역량이나 방위 기술력을 노리고 있음을 시사한다.

공격자들은 REDCap를 통해 연구 데이터베이스에 접근할 수 있었기 때문에, 연구 참여자 명단, 치료 결과, 실험 데이터 등 민감한 정보에 손쉽게 접근할 수 있었다. 특히 REDCap는 연구 협력 및 데이터 공유를 위한 플랫폼인 만큼, 연구원 간 이메일 교류가 활발한데, 이를 악용해 연구 계획, 미발표 논문, 협력자 정보 등 전략적 가치가 높은 데이터를 유출했을 가능성이 크다. 구글은 이 같은 공격이Research & Development(R&D) 분야의 지적 재산권을 노린 것으로 추정하고 있다.

구글 워크스페이스 규칙 악용, 다른 클라우드 메일 서비스에도 위협 확산

UNC6508의 공격 기법은 구글 워크스페이스에 국한되지 않는다. 구글은 유사한 기능이 마이크로소프트 365의 ‘메일 흐름 규칙(Mail Flow Rules)’이나 IBM Notes의 ‘메일 규칙’ 등 다른 클라우드 메일 서비스에서도 제공된다고 밝혔다. 이는 공격자들이 특정 클라우드 플랫폼의 관리자 기능을 악용해 이메일 트래픽을 조작할 수 있음을 의미하며, 향후 유사한 공격이 다른 플랫폼에서도 발생할 가능성이 있다.

이 같은 위협에 대응하기 위해 구글은 구글 워크스페이스 관리자에게 콘텐츠 준수 규칙에 대한 모니터링 강화와 알림 설정, 예기치 않은 규칙 생성 시 자동 알림을 권장하고 있다. 또한 REDCap 사용 기관은 외부 노출 서버에 대한 보안 감사와 패치 관리, 다단계 인증(MFA) 강제 적용 등을 통해 초기 침투 경로를 차단해야 한다. 특히 REDCap와 같은 연구 플랫폼은 연구 데이터의 중요성 때문에 보안 관리가 상대적으로 소홀해질 수 있지만, 이 같은 공격 사례는 플랫폼의 보안 상태가 연구 기관 전체의 안보와 직결됨을 보여준다.

REDCap와 구글 워크스페이스 보안 강화, 실무자 가이드

이번 공격을 계기로 REDCap와 구글 워크스페이스 사용 기관은 다음과 같은 보안 조치를 즉시 시행해야 한다. 첫째, REDCap 서버의 외부 노출 여부를 점검하고, 불필요한 경우 내부망으로 전환하거나 접근 제어 목록(ACL)을 엄격히 설정해야 한다. REDCap는 자체 보안 패치를 제공하므로 최신 버전으로 업데이트하고, 관리자 계정의 비밀번호를 정기적으로 변경해야 한다. 둘째, REDCap 서버에 설치된 모든 시스템 파일의 무결성을 주기적으로 검사해 변조 여부를 확인해야 한다. 특히 INFINITERED와 같은 악성코드는 정상 파일로 위장할 수 있으므로, 파일 해시 값 비교나 침입 탐지 시스템(IDS)을 활용하는 것이 중요하다.

구글 워크스페이스 측에서는 콘텐츠 준수 규칙에 대한 접근 로그와 변경 이력을 면밀히 모니터링해야 한다. 관리자 대시보드에서 예기치 않은 규칙 생성이나 키워드 목록 변경을 감지할 수 있도록 알림을 설정하고, 특히 ‘BCC’ 또는 ‘전송’ 규칙이 추가될 경우 즉시 검토해야 한다. 또한 다단계 인증(MFA)을 모든 사용자에게 강제 적용하고, 비정상적인 로그인Attempts을 감지하는 위험 기반 로그인 보호(Risk-Based Login Protection)를 활성화해야 한다. 구글 워크스페이스 관리자는 또한 ‘보안 검토’ 기능을 활용해 의심스러운 규칙이나 사용자 활동을 선제적으로 차단할 수 있다.

사이버 스파이 threat evolution, 앞으로 주시해야 할 변화

UNC6508의 공격은 사이버 스파이 활동이 increasingly sophisticated하고 은밀해지고 있음을 보여준다. REDCap 백도어와 구글 워크스페이스 규칙 악용은 공격자들이 정상적인 플랫폼 기능과 관리자 도구를 역이용해 활동 흔적을 숨기는 새로운 전술을 구사하고 있음을 시사한다. 특히 연구·방위 분야는 국가 안보와 직결된 만큼, 향후 유사한 공격이 더욱 정교화되고 표적화될 가능성이 크다.

이에 따라 연구 기관과 방위 관련 조직은 클라우드 메일 서비스와 연구 플랫폼의 보안 정책을 재검토해야 한다. 구글 워크스페이스뿐 아니라 마이크로소프트 365, 슬랙(Slack),Teams 등 협업 도구에서도 유사한 위협이 발생할 수 있으므로, 모든 클라우드 서비스에 대해 보안 감사와 규칙 검토를 주기적으로 실시해야 한다. 또한 보안 업체는 연구 플랫폼과 클라우드 메일 서비스 간의 통합 보안 솔루션을 개발해, 플랫폼 간 데이터 유출을 차단하는 데 주력해야 한다.

결론: 연구 인프라 보안의 새로운 패러다임 필요

이번 UNC6508의 공격은 의료·학술·방위 연구 네트워크가 사이버 스파이 threat에 얼마나 취약한지를 여실히 보여준다. REDCap 백도어와 구글 워크스페이스 규칙 악용은 공격자들이 정상적인 인프라와 도구를 악용해 장기간 활동할 수 있음을 증명했으며, 이는 연구 기관의 보안 패러다임 자체를 재고해야 할 필요성을 강조한다. 연구 데이터는 지적 재산권과 안보의 핵심 자산이므로, REDCap와 같은 플랫폼뿐 아니라 구글 워크스페이스와 같은 클라우드 서비스에 대한 종합적인 보안 전략이 시급히 수립돼야 한다.

연구 기관과 방위 관련 조직은 외부 노출 서버의 보안 강화, 다단계 인증 강제 적용, 관리자 규칙에 대한 지속적인 모니터링, 그리고 플랫폼 간 통합 보안 솔루션 도입을 서둘러야 한다. 또한 보안 업체와 클라우드 서비스 제공자는 연구 및 방위 분야의 특수한 요구 사항을 반영한 맞춤형 보안 솔루션을 개발해야 한다. 사이버 스파이 threat는 increasingly sophisticated해지고 있으며, 이에 대응하기 위한 보안 패러다임의 전환이 필요하다는 점은 이제 분명해졌다.