카스퍼스키, 윈도우 서버 노리는 ‘패시브뉴런’ 공격 포착…정부·금융기관 노려

카스퍼스키(지사장 이효은)는 회사의 글로벌 연구분석팀(GReAT)이 정부, 금융, 산업 등 주요 기관의 윈도우 서버를 직접 겨냥한 사이버 스파이 공격 ‘패시브뉴런(PassiveNeuron)’을 발견했다고 29일 밝혔다.

이번 공격은 2024년 12월부터 활동이 시작돼 2025년 8월까지 이어졌으며, 약 6개월간의 비활동기를 거친 뒤 새로운 공격 도구를 활용해 다시 활동을 재개한 것으로 확인됐다.

카스퍼스키에 따르면, 공격자들은 표적 네트워크 침투와 장기적 접근 권한 확보를 위해 3가지 도구를 사용했다.

먼저 ‘뉴사이트(Neursite)’는 시스템 정보 수집, 프로세스 제어, 네트워크 트래픽 라우팅을 수행하는 모듈형 백도어로, 내부망에서 측면 이동이 가능하다. 또 다른 악성코드인 ‘뉴럴이그제큐터(NeuralExecutor)’는 닷넷(.NET) 기반 임플란트로 추가 악성코드를 다운로드·실행하며 다양한 통신 방식을 지원한다. 이 밖에도 공격자들은 침투 테스트용으로 개발된 보안 점검 도구 ‘코발트 스트라이크(Cobalt Strike)’를 악용해 공격을 수행했다.

게오르기 쿠체린 카스퍼스키 연구원은 “패시브뉴런의 가장 큰 특징은 조직의 핵심 서버 시스템을 직접 노린다는 점”이라며 “인터넷에 노출된 서버는 지능형 지속 공격(APT) 조직에게 매우 매력적인 표적이며, 한 번 침해되면 네트워크 전체로 확산될 위험이 크다”고 경고했다. 그는 이어 “공격 표면을 최소화하고 서버 애플리케이션을 지속적으로 모니터링해 이상 징후를 조기에 탐지·차단하는 것이 중요하다”고 덧붙였다.

이효은 카스퍼스키 한국지사장은 “이번 공격은 한국에도 심각한 경고 신호를 보낸다”며 “이미 정부와 금융 분야 등 주요 인프라에서 사이버 사고가 잦아지고 있는 만큼, 서버 침해로 인한 피해는 더욱 치명적일 수 있다”고 말했다.

이어 그는 “패시브뉴런은 정교한 기만 전술을 구사하고 있으며 국내의 보안 인력 부족 문제까지 겹쳐 위험이 높아지고 있다”며 “카스퍼스키는 위협 인텔리전스(TI), 엔드포인트 탐지 및 대응(EDR), 보안 교육을 결합한 다계층 방어 체계를 통해 국내 기관과 기업의 보안 역량을 강화할 수 있도록 적극 협력하고 있다”고 강조했다.

카스퍼스키 연구팀은 패시브뉴런 샘플 코드 내부에서 키릴 문자(러시아 알파벳)를 확인했으나, 이는 분석을 혼란시키기 위한 의도적 가짜 신호일 가능성이 높다고 설명했다. 또한 공격 전술·기법·절차(TTP)를 종합적으로 분석한 결과, 중국어 사용 해킹 그룹의 활동으로 추정된다고 밝혔다.

카스퍼스키는 이번 공격과 같은 표적형 위협으로부터 조직을 보호하기 위해 ▲최신 위협 인텔리전스 확보 ▲사이버 보안 인력의 역량 강화 ▲엔드포인트 탐지 및 대응(EDR) 체계 구축 ▲네트워크 수준의 고급 위협 탐지 ▲보안 인식 교육 강화 등의 조치를 권고했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network