UNC2814 GRIDTIDE 사이버 첩보 캠페인 — Google Sheets를 C2로 악용한 중국 연계 APT
사건 개요
2026년 2월 18일, Google Threat Intelligence Group(GTIG)과 Mandiant가 협력하여 중국 국가 연계 APT 그룹 UNC2814의 광범위한 사이버 첩보 캠페인을 차단했다. 이 그룹은 최소 2017년부터 활동하며 42개국 53개 통신사 및 정부기관을 침해했으며, 약 20개국 추가 감염이 의심된다. 핵심은 GRIDTIDE라는 신규 C 기반 백도어가 Google Sheets API를 명령제어(C2) 채널로 악용하여 악성 트래픽을 합법적인 클라우드 API 호출로 위장했다는 점이다.
기술적 세부사항
위협 행위자 프로파일
UNC2814는 중국 국가 연계 APT로, Salt Typhoon 등 공개된 다른 중국 APT 그룹과는 피해 조직 / 전술 / 기술 및 절차(TTP) 모두 구별되는 별개의 그룹이다. 2017년부터 최소 9년에 걸쳐 아프리카 / 아시아 / 유럽 / 아메리카 대륙 전반의 통신사와 정부기관을 집중 표적으로 삼아왔다. VPN 설정 메타데이터 분석 결과, 특정 인프라는 2018년 7월부터 지속 활용된 것으로 확인됐다.
GRIDTIDE 백도어 기술 분석
GRIDTIDE는 C 언어 기반 백도어로 임의 셸 명령 실행, 파일 업로드 및 다운로드 기능을 지원한다.
C2 채널: Google Sheets API 악용
GRIDTIDE는 Google Sheets를 단순 문서가 아닌 통신 채널로 취급한다. 구체적인 동작 방식은 다음과 같다.
- 셀 A1에서 명령을 폴링하고 실행 결과를 해당 셀에 덮어씀
- V1 셀에 호스트 정찰 정보(호스트명 / 사용자 / 네트워크 환경)를 저장하여 유출
- 특정 셀 범위를 파일 업로드 / 다운로드에 활용
- 16바이트 암호화 키를 별도 파일에 저장하고 AES-128 CBC 모드로 Google Drive 설정 복호화
- Base64 인코딩 시 표준 문자(+, /) 대신 대체 문자(-, _) 사용
이 방식은 기업이 일상적으로 사용하는 Google API 트래픽과 구분이 사실상 불가능하다.
실행 및 영속성 메커니즘
- 악성 바이너리명 xapt 로 시스템 도구로 위장
- nohup ./xapt 명령으로 초기 실행하여 세션 종료 후에도 지속 동작
- /etc/systemd/system/xapt.service 로 systemd 서비스 등록하여 영속성 확보
- /usr/sbin/xapt 경로에서 새 인스턴스 생성
공격 체인
- 초기 접근 : 인터넷 노출 웹 서버 및 엣지 디바이스(방화벽, VPN 장비 등) 취약점 악용
- 측면 이동 : 서비스 계정을 활용해 SSH로 내부 이동
- 정찰 및 권한 상승 : LotL(Living-off-the-Land) 바이너리(운영체제 내장 도구)만 사용하여 탐지 회피
- 영속성 확보 : GRIDTIDE 백도어 설치 및 systemd 서비스 등록
- 암호화 터널 : SoftEther VPN Bridge로 암호화된 아웃바운드 채널 구축
- 데이터 접근 : PII 보유 엔드포인트(성명 / 생년월일 / 전화번호 / 유권자 ID / 국가 ID)에 백도어 설치
Google의 차단 조치 (2026년 2월 18일)
- UNC2814가 제어하는 모든 Cloud Project 종료
- 현재 및 과거 도메인 싱크홀 처리
- 공격자 계정 비활성화 및 Google Sheets API 접근 권한 취소
- 2023년 이후 UNC2814 인프라 연관 IOC 세트 공개
- 피해 조직 직접 통보 및 사고 대응 지원
근본 원인 분석
기술적 원인
9년간 탐지되지 않은 핵심 이유는 세 가지다. 첫째, Google Sheets API를 C2 채널로 활용함으로써 합법적 클라우드 트래픽과 완전히 혼재했다. 기존 네트워크 기반 탐지 도구는 이 패턴을 인식하지 못한다. 둘째, LotL 기법으로 새로운 악성 도구 투입 없이 운영체제 내장 도구만으로 활동하여 엔드포인트 기반 탐지를 회피했다. 셋째, 엣지 디바이스와 네트워크 장비는 일반적으로 EDR(엔드포인트 탐지 및 대응) 솔루션이 설치되지 않는 보안 사각지대다.
관리적 원인
통신사와 정부기관은 대규모 레거시 인프라를 운영하며 엣지 장비의 보안 가시성이 낮은 경향이 있다. 합법적 클라우드 서비스를 통한 C2 트래픽에 대한 모니터링 정책과 탐지 룰셋이 구축되어 있지 않았다.
인적 원인
이번 침해에서 인적 요인(소셜 엔지니어링, 피싱 등)에 대한 직접적 증거는 공개된 바 없다. 초기 접근은 엣지 장비 취약점 악용으로 확인됐다.
공격 목적 분석
GTIG는 GRIDTIDE가 설치된 엔드포인트에서 성명 / 생년월일 / 전화번호 / 유권자 ID / 국가 ID 등 PII가 발견됐다고 확인했다. 이는 특정 개인의 추적 및 모니터링을 목적으로 한 국가 첩보 활동 패턴과 일치한다. 통신사 대상 과거 중국 APT 공격 맥락에서는 통화 기록(CDR) / 비암호화 SMS 메시지 / 적법한 감청 시스템(lawful intercept) 접근이 최종 목표였을 가능성이 높다. GTIG는 이번 캠페인에서 실제 데이터 유출을 직접 관찰하지는 못했다고 명시했다.
예방 및 대응 방안
탐지 지표 (IOC)
- 비브라우저 프로세스의 Google Sheets API 호출 (batchClear, batchUpdate, valueRenderOption=FORMULA 쿼리)
- /etc/systemd/system/xapt.service 서비스 존재 여부
- /var/tmp/xapt 또는 /usr/sbin/xapt 바이너리
- SoftEther VPN Bridge 리눅스 서버 실행 여부
- 비표준 Base64 인코딩 (-, _ 대체 문자 사용)
기술적 대응 방안
클라우드 API 행위 분석이 핵심이다. 어떤 프로세스가 Google Sheets API를 호출하는지, 호출 빈도와 패턴이 정상 범주인지를 모니터링해야 한다. GTIG가 공개한 YARA 룰과 IOC를 적용하여 탐지 체계를 보강하고, 엣지 디바이스 및 네트워크 장비에 대한 보안 가시성 확보가 필요하다. LotL 기법 탐지를 위한 행위 기반 탐지 체계 강화도 병행해야 한다.
컨설팅 관점
고객사 커뮤니케이션 전략
기술팀 대상
SaaS C2(서비스형 명령제어)는 현대 APT의 핵심 회피 기법으로 자리잡았다. Google Sheets 외에도 OneDrive / Notion / Slack 등 어떤 클라우드 플랫폼이든 동일한 방식으로 악용될 수 있다. 따라서 도메인 / IP 차단 중심의 탐지 전략은 이 공격 유형에 무력하다. 프로세스 단위의 클라우드 API 호출 감사가 필요하다.
경영진 대상
UNC2814의 캠페인은 9년이 소요된 장기 프로젝트다. 이는 국가 지원 위협 행위자의 인내심과 자원 규모를 보여준다. 표적이 주로 통신사와 정부기관이지만, 이 섹터의 공급망(장비 벤더 / SI 업체 등)도 간접 노출 위험이 있다.
예상 질문 및 답변
Q: 구글이 이미 차단했다면 더 이상 위험하지 않은 것 아닌가?
A: Google은 GRIDTIDE 캠페인에 사용된 현재 인프라를 차단했지만, 동일한 기법을 다른 클라우드 플랫폼(OneDrive / Notion 등)에 적용하는 데는 몇 주면 충분하다. Google 스스로도 UNC2814가 새로운 도구와 클라우드 리소스로 인프라를 재구축하려 할 것으로 예상한다고 밝혔다.
Q: 우리 회사는 통신사나 정부기관이 아닌데 관련이 있나?
A: 직접 표적 가능성은 낮지만, SaaS C2 기법 자체는 모든 조직에 대한 위협이다. 동일한 기법을 사용하는 다른 APT 그룹의 공격 사례가 증가하고 있으며, 엣지 디바이스 보안과 클라우드 API 모니터링은 범용적으로 필요한 통제 수단이다.
학습 내용 및 시사점
이 사건의 핵심 학습은 SaaS 플랫폼을 C2 채널로 활용하는 기법이 현대 APT의 표준 회피 수단으로 자리잡았다는 점이다. 기존 경계 보안(방화벽 / 도메인 차단)으로는 이 공격 유형을 탐지하는 것이 구조적으로 불가능하다. 엣지 디바이스를 초기 침투 거점으로 삼고, LotL로 탐지를 회피하며, 합법적 클라우드 트래픽에 숨어 장기 잠복하는 이 패턴은 앞으로 더욱 확산될 것으로 예상된다. 탐지의 무게중심이 시그니처 / 경계 기반에서 행위 분석 / 클라우드 API 감사로 이동해야 하는 시점이다.