중국 연계 해킹 그룹 Calypso, 리눅스·윈도우 동시 공격으로 통신망 침투

Showboat: 리눅스 시스템을 노린 침투 도구

Showboat는 리눅스 환경에서 동작하는 모듈형 사후 공격(post‑exploitation) 프레임워크로 분석됐다. 즉, 공격자가 이미 시스템 접근 권한을 얻은 뒤 네트워크 내부 활동을 확대하기 위해 사용하는 도구다.

보안 연구에 따르면 Showboat는 다음과 같은 기능을 제공한다.

• 감염된 시스템에 원격 셸(remote shell) 실행
• 공격자 서버와의 파일 전송
• 감염 시스템을 SOCKS5 프록시로 사용

특히 프록시 기능을 통해 공격자는 감염된 서버를 중계 지점으로 활용할 수 있어, 실제 공격자의 위치와 활동을 숨기면서 네트워크 내부로 더 깊게 이동할 수 있다.

JFMBackdoor: 윈도우 환경을 겨냥한 백도어

리눅스용 Showboat와 함께 사용된 또 다른 도구는 JFMBackdoor다. 이는 윈도우 시스템에서 동작하는 악성 코드로 동일한 공격 캠페인에서 함께 발견됐다.

통신사 환경에서는 네트워크 장비나 서비스 서버가 리눅스 기반인 경우가 많지만, 관리 시스템이나 기업 IT 인프라는 윈도우 기반일 때가 많다. 이 때문에 공격자는 두 플랫폼을 동시에 노려 한쪽에서 탐지되더라도 다른 쪽을 통해 접근을 유지할 수 있다.

공개된 자료에서는 JFMBackdoor의 내부 기술적 구조에 대한 상세 분석은 제한적이지만, 지속적 접근 유지와 내부 정찰 활동에 사용된 것으로 보고됐다.

통신사를 가장한 도메인과 공격 인프라

이번 캠페인에서 공격자들은 단순히 멀웨어만 사용한 것이 아니다. 연구자들은 공격자가 통신사와 관련된 것처럼 보이는 도메인과 서버 인프라를 구축해 운영한 정황도 확인했다.

이러한 인프라는 다음과 같은 목적에 사용됐을 가능성이 높다.

• 통신 업계와 관련된 서비스처럼 신뢰도를 높이기 위한 위장
• 감염된 시스템과 공격자 간의 명령·제어(C2) 통신
• 추가 침투나 계정 정보 수집을 위한 공격 인프라 지원

구체적으로 어떤 도메인이 어떤 조직을 사칭했는지는 공개되지 않았지만, 통신 산업 내부 환경에 맞춰 설계된 정교한 인프라였다는 점이 강조된다.

리눅스와 윈도우 동시 공격이 위험한 이유

통신 네트워크는 다양한 시스템이 함께 작동하는 복합 인프라다. 리눅스 기반 네트워크 서비스와 윈도우 기반 기업 시스템이 동시에 존재하기 때문에, 공격자가 두 플랫폼 모두를 겨냥하면 방어가 훨씬 어려워진다.

이 전략은 공격자에게 몇 가지 이점을 제공한다.

• 지속성 강화: 한 플랫폼의 악성코드가 제거돼도 다른 시스템에서 접근 유지
• 확장된 내부 이동: 네트워크 운영 시스템과 기업 IT 환경 사이 이동 가능
• 은밀한 활동: 감염된 시스템을 프록시나 중계 노드로 활용

이러한 접근 방식은 통신망 내부에서 장기간 은밀하게 활동하는 사이버 첩보 작전에 특히 적합하다.

글로벌 통신 인프라에 대한 경고 신호

보안 전문가들은 이번 사례가 통신 산업을 노린 국가 수준의 사이버 스파이 활동이 계속 증가하고 있다는 신호라고 분석한다. 통신망에 장기간 접근할 경우 공격자는 다음과 같은 민감한 정보를 파악할 가능성이 있다.

• 네트워크 구조와 운영 시스템
• 통신 메타데이터
• 정부 및 기관 통신 흐름과 관련된 정보

Showboat와 JFMBackdoor의 발견은 공격자들이 여러 운영체제를 동시에 겨냥하는 도구를 점점 더 정교하게 개발하고 있다는 사실을 보여준다. 이런 공격은 탐지와 제거가 어려워 전 세계 통신 인프라 보안에 새로운 도전 과제로 떠오르고 있다.