PhantomCore가 TrueConf 보안 패치 공개 한 달 만에 가동한 캠페인 분석. BDU 3중 체인, 러시아 정부·국방 표적, PhantomGoShell 분파 식별까지 정리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 9월, 러시아 보안업체 Positive Technologies 분석가들은 자국 정부와 방산 네트워크의 영상회의 서버에서 익숙한 흔적을 다시 발견했다. 우크라이나 연계로 알려진 PhantomCore가 한 달 전 TrueConf가 공개한 보안 패치를 우회로 삼아 침투를 시작한 것이다. 인증 우회, 임의 파일 읽기, 원격 코드 실행. 세 단계의 결함이 사슬처럼 엮여 영상회의 서버를 발판 삼아 정부 기관 안으로 들어왔다.
이번 사건이 한 캠페인 그 이상의 의미를 갖는 이유는 세 가지다. 첫째, 패치가 공개된 직후 같은 제품을 노리는 캠페인이 곧장 가동된 사례다. 둘째, 한국에서도 도입 사례가 있는 협업 도구가 사이버 스파이의 출입구로 쓰인 사례다. 셋째, 1년 가까이 추적해 온 행위자가 새로운 분파를 만들며 활동을 다층화하는 단계가 함께 포착됐다.
PhantomCore는 2024년 초 러시아 보안업체 F.A.C.C.T.가 처음 별도 그룹으로 분류한 사이버 스파이 행위자다. 이후 다른 분석가들은 같은 그룹을 Head Mare, Fairy Trickster, Rainbow Hyena, UNG0901 같은 별칭으로도 부르고 있다. Positive Technologies는 정부 소속을 명시하지 않고 정치·금전 동기가 혼재한 그룹으로 분류한다. MITRE ATT&CK 프레임워크에 공식 G 번호는 아직 부여되지 않았다.
활동 표적은 일관되게 러시아다. 정부 기관, 국방, 조선, 연구소, 화학, 광업, IT 부문이 반복적으로 거론됐다. 2025년 5월부터 7월까지 약 180여 개 호스트가 감염된 별도의 사전 캠페인도 PT 분석에서 함께 보고됐다. 그 캠페인의 평균 네트워크 체류 시간은 24일이었다. 발견까지 한 달 가까이 침입자가 자유롭게 움직인다는 뜻이다.
PhantomCore의 무기고는 자체 개발 도구가 핵심이다. PT 보고서가 분석한 핵심 도구는 다음과 같이 묶인다.
정찰과 메모리 덤프 단계에서는 Velociraptor, Memprocfs, Dokan, DumpIt 같은 공개 도구를 적극 활용해 자체 도구의 노출을 줄였다.
8월 27일 TrueConf가 보안 패치를 공개했을 때, 운영자들이 곧바로 업데이트를 적용했다면 캠페인은 시작되지 못했을 것이다. 그러나 패치 공개로부터 한 달이 채 지나기 전에 PhantomCore는 같은 취약점을 무기로 들고 들어왔다. Positive Technologies가 식별한 결함은 세 갈래로 이어진다. BDU는 러시아 FSTEC이 운영하는 정부 취약점 데이터베이스로, 미국 NVD의 러시아판에 해당한다.
세 결함은 한 체인 안에서 순차적으로 작동했다.
침입의 기본 패턴은 영상회의 서버에 인증 없이 접속해 서버 안의 임의 파일을 읽고, 마지막으로 원격에서 명령을 실행하는 것이다. 한 번 발판이 마련되면 공격자는 "TrueConf2"라는 관리자 계정을 만들어 향후 접근을 보장했다. 이어서 ZIP과 RAR 아카이브에 담긴 PhantomRAT 또는 PhantomRShell 페이로드가 떨어지고, PhantomTaskShell이 작업 스케줄러를 통해 지속성을 확보했다.
C2 인프라는 의도적으로 분산돼 있었다. PT가 식별한 도메인의 절반(48%)은 러시아 자체 인프라에 위치했고, 나머지 52%는 핀란드, 프랑스, 네덜란드, 미국, 독일, 홍콩, 몰도바, 폴란드에 흩어져 있었다. austolns.pw, mgfoms.org, nextcloud.soft-trust.com 같은 도메인이 정부 사이트나 협업 서비스의 서브도메인처럼 보이도록 위장했다. 이 분산 구조 덕분에 단일 IP·국가 차단으로는 캠페인을 끊어내기 어렵다.
흥미로운 분기점은 2025년 후반에 나타났다. PT 분석가들은 PhantomCore 운영의 일부에서 기존과는 다른 도구 집합과 운영 패턴을 발견했고, 이 분파를 "PhantomGoShell"이라는 별칭으로 분류했다. 일부 멤버를 Discord 커뮤니티에서 모집하는 정황까지 포함된 보고서는 PhantomCore가 단일 핵심 팀에서 분기·확산하는 단계로 들어섰을 가능성을 보여준다.
이번 캠페인이 직접 노린 것은 영상회의 서버였지만, 영향은 그 너머로 번졌다. 침투된 서버는 내부망의 사용자 디렉터리, 회의 녹화본, 인증 토큰을 다루는 길목에 있다. 거기서 출발한 측면 이동이 도메인 컨트롤러까지 닿은 사례가 PT 보고서에 포함됐다. 사전 캠페인에서 평균 24일이라는 체류 시간이 보여주듯, 발견까지 걸리는 시간은 결코 짧지 않다.
표적 산업의 분포는 PhantomCore가 단순한 기회주의 그룹이 아님을 시사한다. 앞서 본 산업·국방 인프라의 핵심 영역이 사전 캠페인부터 영상회의 캠페인까지 일관되게 노출됐다. PT는 영상회의 캠페인의 정확한 피해자 수치를 공개하지 않았다. 다만 같은 행위자의 5~7월 사전 캠페인에서만 180여 개 호스트가 감염됐다는 점을 고려하면, 영상회의 캠페인의 실제 침투 규모도 단편 보도 이상일 가능성이 높다.
첫째, 패치 공개 시점이 곧 표적 시점이라는 점이 다시 확인됐다. 보안 패치가 공개되면 같은 취약점을 무기로 만드는 작업이 동시에 시작된다. PhantomCore는 한 달도 안 되는 간격으로 그 사실을 입증했다. 같은 시기에 Check Point Research가 보고한 "Operation TrueChaos"라는 별개 캠페인이 또 다른 TrueConf 결함을 동남아 정부 표적에 사용했다. TrueConf 같은 협업 도구가 다수의 행위자에게 동시에 노출되고 있다는 의미다.
둘째, 영상회의 같은 협업 도구는 신뢰 관계의 한복판에 있다. TrueConf 같은 제품은 사용자 인증, 회의 녹화, 파일 공유, 그리고 다수의 내부 시스템과 연결되는 통합 지점을 보유한다. 이런 도구를 노리는 캠페인은 단일 서버 침해에 그치지 않고 자격증명, 민감 데이터, 횡적 이동 경로까지 한 번에 가져올 수 있다. 한국에서도 동일 제품군의 도입 사례가 있고, 화상회의·웨비나 솔루션 도입이 가속화된 만큼 이 표적 범주는 결코 러시아만의 이야기가 아니다.
셋째, 적대 행위자의 분파는 대응 측의 관점도 바꾼다. PhantomGoShell처럼 별도 분파가 나타나면 단일 행위자에 맞춘 IOC 매칭만으로는 흐름을 따라가기 어렵다. PhantomCore라는 라벨로 묶여 있던 활동이 점점 다층화되는 가운데, 각 분파의 도구·인프라·운영 패턴을 별개로 추적할 필요가 커졌다. 1년 사이에 한 그룹의 별칭이 다섯 개를 넘기는 현상은, 그 자체로 위협 인텔리전스 시스템에 가하는 부하를 보여주는 사례다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0