🐜 'Weaver Ant' 해커 그룹, 아시아 통신사 침투…중국발 사이버 스파이의 실체 🔍💻

최근 보안 기업 Sygnia가 공개한 충격적인 조사 결과에 따르면,
중국과 연관된 고급 지속 위협(APT) 해커 그룹 'Weaver Ant'가 아시아의 한 대형 통신사를
수년간 은밀히 해킹해 온 사실이 드러났습니다.

이는 단순한 공격이 아닌, 오랜 시간에 걸쳐 정교하게 설계된 사이버 스파이 작전이었으며,
지금 이 순간에도 유사한 공격이 세계 곳곳에서 진행 중일 수 있다는 경고가 나오고 있습니다. 😱

---

🕵️‍♂️ Weaver Ant, 어떤 해커 그룹인가요?

‘Weaver Ant(위버 앤트)’는 이름처럼 집요하고 끈질기게 타깃에 달라붙는 중국계 APT 그룹입니다.
Sygnia는 이들을 “은밀하고 고도로 지속적인 위협 행위자”라고 표현했어요.

그들의 주요 목적은 통신망을 통한 정보 수집, 즉 사이버 첩보 활동입니다.
단순한 금전 목적의 해킹이 아닌, 국가 안보 및 전략 정보를 노리는 고차원 공격이죠.

---

💣 해킹은 어떻게 진행됐을까?

조사는 전혀 다른 보안 사고를 조사하던 중 수상한 행동을 탐지하면서 시작됐습니다.

🔐 이미 차단한 해커 계정이 내부 서비스 계정에 의해 다시 활성화
🖥️ 침해 사실이 없던 서버에서 이상한 활동이 탐지
🔎 추가 조사 결과, ‘China Chopper’ 웹셸이 다수 서버에 심어져 있었음

🧩 웹셸(Web Shell)이란?
웹서버를 통해 외부에서 원격으로 서버 명령을 실행할 수 있게 해주는 악성 스크립트입니다. 보통 웹사이트에 몰래 심어져, 공격자가 서버를 자유롭게 조종할 수 있게 해줍니다.

Sygnia는 이를 분석한 결과, 이 공격은 단일 해커 그룹의 소행이 아니라,
Weaver Ant라는 또 다른 중국계 해커 그룹의 장기적 침투 작업이었다고 판단했습니다.

---

🧪 사용된 공격 도구들: 웹셸 2종

Weaver Ant는 웹셸(Web Shell)만을 사용해 은밀히 침투와 내부 확산을 진행했으며, 사용한 주요 도구는 아래와 같습니다:

1️⃣ China Chopper

• 중국 해커들이 자주 쓰는 소형 웹셸
• 기능: 파일 전송, 명령 실행, 데이터 추출 등
• 장점: 작고 가벼워 탐지가 어렵고, 다양한 공격에 활용 가능

2️⃣ INMemory

• Sygnia가 처음 발견한 무이름 웹셸로 자체적으로 명명
• 특징: 악성 DLL 파일을 메모리에서만 실행하여 탐지를 피함
• 탐지 우회를 위한 고급 기술 적용

이 웹셸들은 서로 연결되어 웹셸 터널링(Web Shell Tunneling)이라는 방식으로 서버 간을 자유롭게 이동하며
데이터를 빼냈습니다.

📡 공격자는 공개 서버를 ‘게이트웨이’처럼 활용해, 내부 네트워크 깊숙이 침투
🎯 공격 당시에도 Weaver Ant는 여전히 내부 서버를 조종하고 있었음

---

🧱 방어 방법은? 어떻게 막을 수 있을까?

Weaver Ant는 ‘마트료시카 인형’처럼 겹겹이 숨겨진 해킹 구조를 사용합니다.
한 층씩 벗겨야만 진짜 악성 코드를 알 수 있다는 점에서 탐지하기 매우 어렵죠.

Sygnia는 다음과 같은 보안 수칙을 권장합니다:

✅ PowerShell 및 IIS 로그 활성화
✅ 웹 애플리케이션 방화벽(WAF)에 China Chopper, INMemory 패턴 추가
✅ 외부 노출 웹 계정은 최소 권한 설정
✅ 주기적인 패스워드 변경 및 관리자 계정 감사
✅ EDR/XDR 솔루션 도입

또한 Sygnia는 악성 코드 및 웹셸 탐지용 IOC(침해 지표)도 공개했습니다.
기업 보안팀은 이를 참고해 내부 침해 여부를 점검해야 합니다.

---

📌 마무리 요약

🐜 “Weaver Ant는 단순한 해커 그룹이 아닙니다. 국가 차원의 사이버 스파이 조직입니다.”

이들의 공격 방식은 단순한 코드나 툴 이상의 전략과 인내가 필요한 작업이며,
당장의 피해가 보이지 않아도, 장기간 정보가 유출되고 있을 가능성이 있습니다.

통신사뿐만 아니라, 제조, 금융, 의료 등 주요 산업 전반이 이러한 침투에 노출되어 있을 수 있으므로,
지금이야말로 기업과 기관이 보안 로그와 탐지 체계, 방화벽 설정을 다시 점검할 시점입니다. 🔐