Google GTIG가 2026년 6월 공개한 UNC6508 캠페인. PRC 연계 위협 행위자가 REDCap 서버를 2023년부터 2년 이상 장악해 미국·캐나다 의료·군사·AI 연구 기밀을 INFINITERED 악성코드와 Gmail 컴플라이언스 규칙으로 탈취했다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2023년 9월, 미국 북동부의 한 의료 연구기관 REDCap 서버에 정체불명의 HTTP 요청이 들어왔다. 보안팀은 이를 감지하지 못했다. 그 순간부터 나중에 UNC6508로 명명될 중국계 위협 행위자의 작전이 시작됐다. 이 침입은 이후 2년 이상 탐지되지 않았다. 2026년 6월, Google 위협 인텔리전스 그룹(GTIG)이 캠페인 전모를 처음 공개했다.
REDCap(Research Electronic Data Capture)은 임상 시험 데이터와 연구 피험자 정보를 관리하는 소프트웨어다. 전 세계 수천 개 학술 의료기관이 사용하며, 서울대학교병원·세브란스병원을 포함한 국내 주요 의료기관도 임상 연구 데이터 관리에 이 시스템을 운영한다. 분자 생물학 연구부터 군사 보건 데이터까지 한곳에 집중된다는 점이 이 시스템을 가치 있는 표적으로 만들었다.
UNC6508의 수집 목표는 구체적이고 전략적이었다. 군사 전략, AI 연구, 무인 체계 정보, 사이버 공격 프로그램, 의학 연구 데이터가 모두 포함됐다. 그중 하나가 치쿤구니야(Chikungunya) 바이러스 연구였다.
2025년 7월, 중국 광둥성에서 치쿤구니야 발병이 확인됐다. 공격자가 이 바이러스 관련 연구 데이터를 수집하기 위한 키워드를 시스템에 심어 놓은 시점은 그 발병과 맞아떨어진다. 자국에서 유행하는 바이러스에 대한 외국의 연구 데이터를 미리 수집하려 했음을 시사한다.
GTIG는 UNC6508의 활동 우선순위가 중국 국가 정보 수집 요건과 일치한다고 높은 신뢰도로 평가했다. 타깃은 미국과 캐나다의 국가·주 단위·민간 의료기관, 최우수 학술 의료 센터, 군사 보건기관에 걸쳐 있었다. 이 기관들의 합산 연구 예산은 수십억 달러에 달한다.
진입로는 오래된 소프트웨어였다. 많은 기관이 레거시 버전과 최신 버전을 동시에 구동하는 REDCap 서버를 운영한다. UNC6508은 이 흔한 설정을 이용해 다운그레이드 공격(T1689)으로 보안이 취약한 구버전을 강제 실행시키고, help.php라는 이름의 웹쉘을 심었다.
침투로부터 약 3개월 후, 공격자는 INFINITERED라는 맞춤 악성코드를 배포했다. 이 코드의 핵심 설계 목표는 REDCap의 소프트웨어 업그레이드 과정 자체를 장악하는 것이었다.
INFINITERED는 세 가지 모듈로 구성된다.
업그레이드 가로채기 모듈은 REDCap 업그레이드 프로세스에 코드를 주입해, 새 버전이 설치될 때마다 악성 코드가 자동으로 재주입되도록 설계됐다. AWS Elastic Beanstalk 환경도 별도로 처리한다. 소프트웨어를 최신 버전으로 업데이트해도 악성코드가 제거되지 않는다는 뜻이다.
자격증명 수확기 모듈은 REDCap 인증 시스템 파일에 숨겨져 사용자 로그인 시 사용자명과 비밀번호를 가로챈다. 수집된 자격증명은 세션 데이터베이스에 60일간 암호화 보관된다.
C2 백도어 모듈은 모든 REDCap 페이지 로드 때 실행되는 글로벌 훅으로 설치된다. REDCAP-TOKEN이라는 HTTP 쿠키를 통해 명령을 수신하고, 임의 명령 실행, 파일 전송, SQL 쿼리 실행이 가능하다.
침투로부터 약 1년이 지난 2024년 9월경, 공격자는 수확한 자격증명으로 REDCap 관리자 계정에 접근했다. 이어 도메인 관리자 권한까지 확보해 내부 네트워크 전반으로 이동했다.
도메인 관리자 권한을 얻은 후, 공격자는 이메일 시스템에 콘텐츠 컴플라이언스 규칙을 만들었다. 이름은 "Patroit"였다. "Patriot"의 오타다. 자동화 시스템이 아닌 사람이 직접 입력했음을 드러내는 실수였다.
이 규칙은 특정 키워드나 이메일 주소 패턴과 일치하는 이메일을 자동으로 외부 Gmail 계정으로 무음 BCC 전송했다. 배경에서 수집 목표로 명시된 군사 전략·AI 연구·무인 체계·사이버 공격 프로그램·의학 연구 등이 트리거 키워드군을 이뤘다. 이 방식은 정상적인 기업 도구를 활용하기 때문에 트래픽 분석만으로는 탐지하기 어렵다.
공격자의 트래픽은 미국 내 거주용 프록시, 탈취된 라우터, VPS를 조합한 난독화 네트워크를 통해 흘렀다. 모든 IP가 미국 기반이었다. GTIG는 이를 미국 내부 트래픽으로 위장하기 위한 계획적 선택으로 분석했다.
캠페인이 외부로 흘린 데이터의 정확한 규모는 공개되지 않았다. 다만 2023년 9월부터 최소 2년 2개월 동안 이 채널이 열려 있었다는 사실만으로도 잠재적 유출의 규모를 가늠할 수 있다. "Patroit" 규칙이 활성화된 기간 동안 연구기관의 이메일이 지속적으로 외부로 흘러나갔다는 것만 확인됐다.
2026년 6월 16일, GTIG는 캠페인을 공개하고 관련 인프라를 차단했다. 외부 유출에 사용된 Gmail 계정은 비활성화됐고, Mandiant 컨설팅과 협력해 피해 기관들에 통지와 복구 지원을 제공했다.
이 캠페인에서 세 가지 점이 주목된다.
REDCap의 광범위한 사용 범위. 국내 주요 의료기관들도 임상 연구 데이터 관리에 REDCap을 사용한다. 이번 캠페인이 북미에 국한됐다는 사실이 다음 표적이 없을 거라는 의미는 아니다.
패치 기반 방어의 한계. INFINITERED의 업그레이드 생존 메커니즘은 소프트웨어 업데이트만으로는 악성코드를 제거할 수 없음을 보여준다. 레거시 버전 동시 운영이라는 흔한 설정이 2년짜리 잠복 공격의 발판이 됐다.
이메일 컴플라이언스 규칙 악용이라는 새로운 기법. GTIG는 이 방법을 "PRC 연계 행위자 가운데 처음 관측된 기법"으로 명시했다. 정상적인 기업 도구를 지속적 데이터 유출 채널로 전용하는 이 접근은 기존 탐지 체계로는 포착하기 어렵다.
치쿤구니야 연구 데이터 수집 키워드가 중국 광둥성 발병 시점과 일치하는 것은 이 캠페인이 단순 기회주의적 침입이 아니라 중국 국가 정보 수집 우선순위와 긴밀히 연동된 기획 작전임을 보여준다. 2023년 9월 감지되지 못한 단 한 번의 HTTP 요청이 2년 이상의 침묵 속에서 무엇을 흘려보냈는지는 공개되지 않았다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.