Cloudflare 인프라를 이용한 은밀한 사이버 스파이 캠페인

공격자들이 Cloudflare 기능을 악용하는 방식

Cloudflare의 개발자 플랫폼은 웹 애플리케이션을 만들기 위한 강력한 기능을 제공한다. 하지만 이러한 기능은 공격자에게도 매력적인 인프라가 될 수 있다.

R2 스토리지: 피싱 페이지와 악성코드 저장소

Cloudflare R2는 객체 스토리지 서비스로 파일이나 정적 웹사이트를 호스팅할 수 있다. 공격자들은 이를 이용해 피싱 페이지와 악성코드를 저장하고 배포한다. 다운로드가 신뢰된 클라우드 도메인에서 이루어지기 때문에 의심을 덜 받기 때문이다.

한 보안 연구에서는 Cloudflare R2에 호스팅된 피싱 페이지로 향하는 트래픽이 6개월 사이 61배 증가한 것으로 보고됐다.

주요 활용 방식은 다음과 같다.

• Microsoft 등 클라우드 로그인 페이지를 모방한 계정 탈취 사이트
• 악성 압축 파일이나 로더 저장
• 2차 악성코드 배포를 위한 중간 저장소

Cloudflare Pages: 정상 사이트처럼 보이는 피싱 포털

Cloudflare Pages는 정적 웹사이트를 글로벌 CDN 인프라에서 호스팅하는 서비스다.

공격자는 이 플랫폼을 이용해 피싱 사이트를 배포함으로써 피해자가 의심스러운 도메인이 아니라 Cloudflare 네트워크에서 제공되는 페이지를 보는 것처럼 만들 수 있다.

기업 입장에서는 Cloudflare 도메인을 통째로 차단하기 어렵기 때문에 이런 공격이 더 오래 유지될 수 있다.

Cloudflare Workers: 서버리스 C2 인프라

Cloudflare Workers는 Cloudflare 네트워크 엣지에서 JavaScript 코드를 실행할 수 있는 서버리스 플랫폼이다.

공격자들은 이를 이용해 다음과 같은 기능을 구현한다.

• 피싱 사이트로 연결하는 리다이렉터
• 로그인 정보를 가로채는 리버스 프록시
• 가벼운 명령·제어(Command and Control) 서버

일부 공격에서는 Workers가 실제 로그인 페이지의 프록시 역할을 하며 사용자가 입력한 자격증명을 몰래 수집하는 투명 피싱(transparent phishing) 기법도 확인됐다.

Cloudflare Tunnel: 숨겨진 악성 서버 접근 경로

Cloudflare Tunnel은 방화벽 뒤에 있는 서비스를 Cloudflare 네트워크를 통해 외부에 노출할 수 있게 해준다.

공격자는 이 기능을 활용해 다음과 같은 작업을 수행한다.

• 피싱 이메일에 포함된 링크를 통해 악성코드 배포
• Cloudflare 서브도메인 뒤에 악성 파일 호스팅
• 명령·제어 서버의 실제 IP 주소 숨기기

보안 보고서에 따르면 Cloudflare Tunnel을 이용해 **원격 제어 트로이목마(RAT)**를 전달하는 캠페인도 발견된 바 있다.

왜 탐지가 어려운가

클라우드 기반 공격 인프라는 여러 가지 이유로 탐지가 어렵다.

첫째, Cloudflare나 Azure 같은 서비스로 향하는 HTTPS 트래픽은 일반적인 SaaS 또는 CDN 통신과 매우 유사하다. 따라서 보안 시스템이 이를 악성으로 판단하기 어렵다.

둘째, 서버리스 플랫폼을 이용하면 공격자가 별도의 서버를 관리하지 않고도 공격 인프라를 빠르게 변경할 수 있다. Workers 같은 서비스에서 실행되는 코드는 즉시 업데이트되며 리다이렉션 로직이나 악성 파일 위치를 쉽게 바꿀 수 있다.

셋째, 여러 클라우드 제공업체를 동시에 활용하면 공격 인프라가 분산되어 추적과 포렌식 분석이 더 복잡해진다.

의심되는 공격 그룹과 귀속 문제

이번 말레이시아 공격은 국가 연계(state‑aligned) 사이버 스파이 활동과 유사한 전술을 보인다는 분석이 있지만, 특정 그룹으로 확정된 것은 아니다.

일부 분석가들은 중국과 연계된 것으로 알려진 APT41과 유사한 특징을 지적한다. 이 그룹은 최소 2012년부터 활동해 왔으며 기술·통신·의료 등 다양한 산업을 대상으로 정보 탈취와 사이버 스파이 활동을 벌여 온 것으로 알려져 있다.

APT41과 같은 그룹은 과거에도 Cloudflare Workers나 CDN 인프라를 이용해 실제 서버 위치를 숨기는 방식을 사용한 사례가 보고됐다.

다만 현재 공개된 자료만으로는 이번 활동이 APT41, Mustang Panda, Amaranth‑Dragon 중 어느 조직의 공격인지 확정적으로 귀속하기 어렵다.

말레이시아가 주요 표적이 되는 이유

말레이시아는 최근 동남아시아에서 빠르게 성장하는 디지털 허브로 떠오르고 있다.

2024년 말레이시아의 디지털 투자 규모는 RM1636억 링깃에 달했으며, 2025년에도 RM874억 링깃의 디지털 투자가 승인되는 등 AI·빅데이터·클라우드·데이터센터 분야에서 빠르게 성장하고 있다.

이러한 성장으로 인해 다음과 같은 정보가 공격자에게 매력적인 목표가 된다.

• 클라우드 계정과 기업 인증 정보
• 소프트웨어 코드와 지식재산
• 데이터센터 및 공급망 인프라
• 정부와 연결된 디지털 시스템

사이버 스파이 조직 입장에서는 이러한 산업을 침해하면 경제 정보와 전략적 기술 정보를 동시에 확보할 수 있다.

클라우드 속으로 숨는 공격 인프라

이번 사례는 현대 사이버 스파이 활동의 큰 변화를 보여준다.

과거에는 공격자가 별도의 악성 서버를 운영했지만, 이제는 신뢰된 클라우드 플랫폼 내부에 공격 인프라를 구축하는 경우가 많다.

이 방식은 공격자에게 다음과 같은 이점을 제공한다.

• 클라우드 제공업체의 높은 신뢰도 활용
• 암호화된 정상 웹 트래픽과 혼합
• 빠른 인프라 생성·삭제와 확장

따라서 보안 팀은 단순히 평판 기반 차단에 의존하기보다 비정상적인 클라우드 서비스 사용 패턴, 의심스러운 데이터 전송, 서버리스 인프라 활용 등을 행동 기반으로 분석해야 한다.

클라우드가 현대 애플리케이션의 핵심 인프라가 된 만큼, 동일한 기술이 이제 현대 사이버 스파이 활동의 기반 인프라로도 활용되고 있다.