최근 보안업체 Trend Micro의 분석에 따르면,
중국어를 사용하는 APT 그룹 'Earth Ammit'이 단순히 대만의 드론 제조업체만 노린 것이 아니라는 사실이 밝혀졌습니다.
사실상 중국과 국방·위성·의료·결제 인프라까지 연결된 공급망 전반을 광범위하게 겨냥한 사이버 첩보전이었던 셈입니다.
🎯 타깃은 어디까지? Venom과 Tidrone, 두 번에 걸친 캠페인
Earth Ammit의 공격은 크게 두 시기로 나뉩니다.
1️⃣ Venom 캠페인 (2023~2024 초)
- 목표: 대만 포함, 한국과 중국 내 소프트웨어 및 서비스 공급업체
- 수법:
- 취약한 웹서버를 통해 진입
- Web shell 설치
- 고객사까지 침투하는 공급망 공격
- 사용 도구:
- 오픈소스 프록시 도구인 **FRPC(Fast Reverse Proxy Client)**를 변형한 VENFRPC
- C2 채널 구축 및 은밀한 원격 제어
🎯 요점: 믿을만한 소프트웨어/서비스 업체를 해킹해 ‘다운스트림 고객사’에 스텔스 침투
2️⃣ Tidrone 캠페인 (2024년)
- 목표: 대만의 위성, 군수, 드론 제조업체
- 공격 방식:
- 3단계 감염 체인 구성
- ERP 소프트웨어와 서비스 업체를 통해 드론 제조사 침투
- 악성 도구:
- CXCLNT, CLTEND: 맞춤형 백도어
- 행동 패턴:
- 권한 상승, 스케줄 작업 통한 지속성 확보
- 자격 증명 탈취, 백신 우회 및 비활성화
🎯 요점: 군사·위성 분야 타깃을 직접 겨냥한 스나이퍼급 침투 전략
🤖 단순 해킹이 아닌 ‘정보 수집 작전’
Earth Ammit의 목적은 단순 금전적 이득이 아닙니다.
Trend Micro는 다음과 같이 분석합니다:
- 지속적이고 은밀한 침입을 통해
- 드론 기술, 자율무기, 위성 기반 방위시스템 정보를
- 중국의 군사 및 산업 경쟁력 강화에 활용하려는 것으로 보입니다.
이러한 APT 그룹의 특징은 "살아있는 신뢰망을 타고 침투"한다는 점입니다.
드론 회사를 직접 공격하는 것이 아니라, 해당 회사에 소프트웨어를 납품하거나
유지보수하는 회사를 먼저 감염시키는 방식이죠.
이를 통해 정상 소프트웨어 업데이트처럼 보이게 위장할 수 있습니다.
🧠 어떻게 막을 수 있을까?
이런 고도화된 공격을 막기 위해서는 개별 보안 솔루션을 넘어서 조직 전체의 보안 구조 개선이 필요합니다.
✅ 보안 체크리스트:
- 공급망 보안 점검: 협력사와 개발사 보안 수준 점검 필수
- EPP/EDR 도입: 실행 파일 이상 행위 탐지 및 분석 가능해야 함
- 업데이트 무결성 검증: 서명 및 해시값 검증 필수
- 침해지표(IOC) 공유: 위협 인텔리전스 협업 강화
🔍 마무리 요약
Earth Ammit은 단일 기업을 노린 것이 아니라, 신뢰를 기반으로 연결된 공급망 전체를 침투 대상으로 삼고 있습니다.
이들은 드론, 위성, 의료, 결제 등 국가 안보 및 경제를 지탱하는 핵심 산업의 ‘신뢰 체인’을 겨냥해 공격을 설계하고 있습니다.
따라서 우리는 더 이상 단일 방화벽이나 백신만으로는 이들의 침입을 막을 수 없습니다.
공급망 전체의 보안을 총체적으로 재검토해야 할 시점입니다.
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🛡️ Adobe, 39개 보안 취약점 긴급 패치! ColdFusion부터 Photoshop까지 대규모 업데이트 (0) | 2025.05.14 |
|---|---|
| 🛡️ 또 IE의 유령? Edge IE 모드 악용한 제로데이 등장! – 2025년 5월 Microsoft 보안 업데이트 정리 (2) | 2025.05.14 |
| 🇰🇵 북한 APT그룹 TA406, 우크라이나 정부까지 노렸다?! (2) | 2025.05.14 |
| 🎯 북한 해커 조직 ‘Kimsuky(김수키)’의 새로운 사이버 공격 수법, ZIP 파일 하나로 당신의 정보를 탈탈 턴다! (0) | 2025.05.13 |
| 😱 메인보드에 숨어 있던 위험한 문! – Asus DriverHub 취약점 분석 (1) | 2025.05.13 |