Security

中 해킹 조직, 전 세계 가정용·소형 네트워크 장비 1천여 대 장악…‘스파이망’ 구축 정황

Donghwi Shin

Published: 13:35, 30 Jun 2025 (Updated: 10:00, 13 Dec 2025)

[이미지: AI Generated by TheTechEdge]

💡

Editor Pick
- LapDogs, 중국과 연계된 해킹조직으로 정보 탈취의 첩보활동 수행
- 리눅스 기반 SOHO 장비를 대상으로 ShortLeash 백도어 활용
- 네트워크 장비의 펌웨어 업데이트 및 관리자 비밀번호 변경 필수

중국과 연계된 해킹 조직이 미국, 동남아, 한국 등지의 가정용·소형 오피스(SOHO) 네트워크 장비 1,000여 대를 감염시켜 장기 사이버 첩보 활동에 활용하고 있는 사실이 드러났다. 해당 해킹 인프라는 시큐리티스코어카드(SecurityScorecard)의 위협 분석팀 STRIKE에 의해 ‘랩독스(LapDogs)’라는 이름으로 확인됐다.

이들은 해당 인프라를 ‘운영 릴레이 박스(Operational Relay Box, ORB)’ 네트워크라고 명명하고, 이를 통해 공격자의 신원을 숨기고 정보를 탈취하는 첩보 활동을 수행하고 있다고 밝혔다. 주요 피해 지역은 미국과 동남아시아지만, 한국, 일본, 홍콩, 대만 등도 감염 범위에 포함된다. 피해 업종은 IT, 네트워크, 부동산, 미디어 등으로 다양하다.

해킹 활동의 핵심은 ‘쇼트리시(ShortLeash)’라는 맞춤형 백도어 프로그램이다. 이 백도어는 주로 리눅스 기반 SOHO 장비를 노리며, 쉘 스크립트를 통해 설치된다. 백도어는 설치 후 가짜 Nginx 웹 서버를 만들고, ‘LAPD(로스앤젤레스 경찰국)’ 명의의 자가 서명 인증서를 발급해 합법적인 서버인 것처럼 가장한다. 이러한 위장 기법은 해킹 인프라 이름이 ‘랩독스’로 붙여진 배경이기도 하다. 윈도우용 변종도 발견됐으며, CVE-2015-1548, CVE-2017-17663 등 알려진 취약점을 통해 초기 접근이 이루어진다.

첫 활동 징후는 2023년 9월 대만에서 감지되었으며, 이후 2024년 1월까지 총 162건의 감염 세트가 확인되었다. 한 번의 공격에서 최대 60대 이하 장비만 감염시키는 방식으로 은밀하게 확산되고 있다. 감염 대상 장비는 Ruckus, ASUS, Buffalo, Cisco-Linksys, D-Link, 마이크로소프트, 파나소닉, 시놀로지 등 다양한 제조사의 제품을 포함한다.

이번 해킹 인프라는 2023년 말부터 유사하게 라우터와 IoT 장비를 감염시켜 알려진 ‘PolarEdge’와 일부 겹치는 특징을 보인다. 그러나 감염 방식과 지속성 확보 기법이 달라 서로 다른 그룹으로 분류된다. PolarEdge는 기기의 CGI 스크립트를 교체해 웹셸을 삽입하는 반면, 랩독스는 시스템 디렉토리에 .service 파일을 심어 루트 권한으로 재부팅 시 자동 실행되도록 설정한다.

랩독스는 중국 해킹 그룹 ‘UAT-5918’이 대만을 겨냥한 사이버 작전에서 활용한 정황이 확인됐다. 다만, 이 그룹이 랩독스를 직접 운영하는지 아니면 단순히 ‘임차’해 사용하는지는 아직 명확하지 않다.

전문가들은 ORB 네트워크가 단순한 봇넷이 아닌, 정찰·침투·익명 브라우징·취약점 스캔·C2 서버 운영·데이터 탈취 등 침해 전 과정에 활용 가능한 ‘다기능 해킹 도구’로 진화하고 있다고 분석한다. 구글 맨디언트(Mandiant), 센티넬원(SentinelOne), 시그니아(Sygnia) 등도 중국 연계 해커들이 ORB 네트워크를 은폐 및 정보유출 수단으로 활용하고 있다고 경고한 바 있다.

전문가들은 사용자가 일상적으로 사용하는 네트워크 장비의 펌웨어 업데이트, 관리자 비밀번호 변경 등 기본적인 보안 수칙을 철저히 지켜야 한다고 강조하고 있다. 특히 SOHO 장비는 감시망의 사각지대에 놓이기 쉬워 악용될 가능성이 크다는 점에서 각별한 주의가 요구된다.