중국 해킹조직, 정상 프로그램으로 위장해 한국 기업 파고들다…보안 프로그램까지 무력화하는 ‘신뢰 침투형’ 공격에 경계 커진다
중국 배후 해킹조직의 공격 방식이 한 단계 더 정교해지면서, 한국 기업과 기관은 물론 일반 사용자까지 기존의 보안 상식을 다시 점검해야 할 시점에 놓였다. 최근 보안업계와 외신, 보안 연구기관 분석을 종합하면 중국 연계 해킹그룹들은 이제 단순히 악성코드를 몰래 심는 수준을 넘어, 이용자가 스스로 정상 프로그램이라고 믿고 설치하도록 유도하는 방식으로 공격의 축을 옮기고 있다. 겉으로 보기에는 세무 공지, 재무 소프트웨어 업데이트, 메신저 설치, 원격관리 도구, 심지어 정식 서명이 붙은 프로그램처럼 보이지만, 실제로는 그 신뢰를 발판으로 내부망에 침투하고 정보를 훔치며 방어 체계를 마비시키는 식이다. 특히 국내 보도에서 지목된 실버폭스와 머스탱판다 같은 중국 연계 조직은 한국을 포함한 아시아 업무 환경을 세밀하게 분석한 뒤 공격을 설계하는 것으로 알려져 있어, 이제는 “모르는 파일만 조심하면 된다”는 수준의 대응으로는 부족하다는 경고가 커지고 있다.
이번 위협의 핵심은 기술 자체보다 ‘신뢰’를 공격 대상으로 삼고 있다는 점이다. 기존에는 악성 파일이 낯설고 수상해 보여 사용자가 경계할 여지가 있었다. 그러나 지금은 정반대다. 익숙한 업무 문서 형식, 잘 알려진 업데이트 화면, 정상 사이트를 닮은 웹페이지, 실제 존재하는 프로그램 이름이 공격의 입구가 된다. 사용자가 스스로 설치를 허용하고, 스스로 접속하고, 스스로 로그인하도록 만드는 방식이기 때문에, 기술적 침입보다 심리적 침투가 먼저 일어난다. 결국 사용자는 보안을 뚫린 뒤에야 공격을 알아차리는 것이 아니라, 공격이 시작되는 순간 이미 “정상적인 업무를 하고 있다”고 믿고 있었던 셈이다. 이 점에서 중국발 최신 해킹은 단순한 시스템 침입이 아니라, 업무 환경 전체의 신뢰 구조를 뒤흔드는 공격이라고 봐야 한다.
특히 머스탱판다로 알려진 중국 연계 해킹조직은 이미 키보드 입력과 클립보드 데이터를 훔치는 도구를 사용해 온 것으로 보안업계에서 분석돼 왔다. Zscaler ThreatLabz는 2025년 보고서에서 머스탱판다가 PAKLOG, CorKLOG 같은 키로거와 SplatCloak이라는 EDR 우회용 드라이버를 활용해 키 입력 기록, 클립보드 데이터 수집, 보안 탐지 회피를 동시에 수행했다고 밝혔다. 이 보고서는 PAKLOG가 사용자의 키 입력을 추적하고 Ctrl+V 입력 시 클립보드 내용까지 가로채 저장한다고 설명했고, SplatCloak은 Windows Defender와 Kaspersky 관련 커널 수준 감시 기능을 비활성화하는 데 쓰였다고 분석했다. 이는 단순한 악성코드 배포가 아니라, 사용자의 실제 행위를 들여다보고 기존 보안 시스템의 눈까지 가리는 ‘능동형 감시’에 가까운 공격이다.
이런 유형의 공격이 한국에 특히 위험한 이유는, 국내 기업과 기관의 업무 환경이 바로 이런 ‘정상 도구 신뢰’ 위에서 돌아가기 때문이다. 재무팀은 세금 관련 공지를 열어야 하고, 인사팀은 문서와 업데이트를 설치해야 하며, 현업 직원은 원격관리 도구나 메신저, 브라우저 확장 프로그램을 사용한다. 만약 중국 해킹조직이 이런 업무 흐름 자체를 분석한 뒤 그에 맞는 위장형 공격을 설계한다면, 보안 담당자가 모든 공격을 사전에 차단하기란 쉽지 않다. 특히 “정상 전자서명이 있다”, “익숙한 프로그램 이름이다”, “검색 결과 상단에 뜬다”는 이유만으로 신뢰하는 문화가 남아 있을 경우, 조직 내부의 누군가는 반드시 속을 가능성이 커진다. 문제는 해킹조직이 바로 그 한 사람을 기다린다는 점이다. 수백 명 중 단 한 명만 위장된 설치 파일을 실행해도, 기업 전체의 단말기와 계정, 내부 문서가 위험해질 수 있다.
실버폭스 계열로 알려진 중국발 공격이 검색엔진 악용, 이른바 SEO 포이즈닝을 활용한다는 점도 심각하다. 사용자는 검색 결과 상단에 나온 페이지를 상대적으로 더 신뢰하는 경향이 있다. 그런데 그 상단 결과가 정상 사이트를 흉내 낸 악성 유도 페이지라면, 공격은 이미 사용자의 판단 습관까지 노리는 셈이다. 이 경우 피해자는 “수상한 링크를 클릭했다”는 자각조차 없이 감염된다. 정상 검색, 정상 다운로드, 정상 설치처럼 보이는 모든 단계가 사실은 함정일 수 있기 때문이다. 이는 기존의 피싱 메일보다 더 위험하다. 메일은 의심이라도 해볼 수 있지만, 검색 결과 상단과 닮은 사이트, 잘 알려진 설치 화면은 오히려 경계심을 무디게 만들기 때문이다.
더 큰 문제는 이런 공격이 기존 방어 체계의 전제를 무너뜨리고 있다는 점이다. 많은 기업은 백신, EDR, 메일 필터링, 방화벽 등 전통적 보안 체계에 상당한 비용을 들여 왔다. 그러나 최근 중국 연계 해킹은 바로 그 보안 도구를 먼저 무력화하는 방향으로 진화하고 있다. Zscaler의 분석처럼, 정식 서명이 붙은 합법적 바이너리나 드라이버를 악용해 악성 DLL을 사이드로딩하고, 커널 수준 보안 콜백을 끊어 감시 자체를 약화시키는 방식은 기존 탐지 체계를 정면에서 우회한다. 다시 말해, 기업이 “우리는 EDR을 도입했으니 괜찮다”고 안심하는 순간을 노려, 그 EDR부터 못 보게 만드는 공격이 이미 현실화한 것이다.
이런 점에서 중국발 해킹 위협은 이제 기술 공격이라기보다 전략 공격에 가깝다. 상대 국가의 업무 환경, 조직 문화, 보안 습관을 연구하고, 가장 익숙한 도구와 가장 자주 쓰는 경로를 악용해 시스템 안으로 들어온다. 그 뒤에는 단순 파일 탈취가 아니라 키 입력 감시, 클립보드 수집, 브라우저 세션과 쿠키 유출, 클라우드 전송, 장기 잠복이 이어질 수 있다. 이는 단순한 랜섬웨어나 금전 탈취형 해킹과도 결이 다르다. 피해를 즉시 드러내고 돈을 요구하는 것이 아니라, 오래 들여다보고, 조용히 가져가고, 나중에 더 큰 공격의 발판으로 활용할 수 있다는 점에서 사실상 사이버 첩보 활동에 더 가깝다. 국내 보도에서 “중국 해킹이 신뢰를 파고든다”고 표현한 이유가 바로 여기에 있다.
한국이 경계해야 할 것은 단지 기업 기밀 유출만이 아니다. 회계 자료, 고객 정보, 인증서, 내부 메신저 대화, 클라우드 저장소 접근 권한, 브라우저 세션, 관리자 계정이 한 번에 노출될 경우 피해는 금융, 제조, 의료, 공공기관, 교육기관 전반으로 확산될 수 있다. 특히 한국은 제조업, 반도체, 배터리, 방산, 플랫폼 서비스 등 중국과 경쟁하거나 민감한 공급망에 놓인 산업이 많기 때문에, 이런 공격은 단순한 해킹이 아니라 산업 경쟁력과도 직결된다. 공격자가 단순히 돈을 훔치려는 것이 아니라 장기적으로 기술과 운영 구조, 고객 생태계까지 들여다보고 있다면, 피해는 단발적 사고가 아니라 전략적 손실로 이어질 수 있다.
그렇다면 대응도 달라져야 한다. 이제는 “수상한 첨부파일을 열지 마라”는 수준의 보안 교육만으로 부족하다. 정상 사이트처럼 보여도 설치 경로를 반드시 확인하고, 공식 사이트라 하더라도 다운로드된 파일의 해시값과 서명을 점검하며, 구형 서명 드라이버와 알려진 취약 드라이버를 사전에 차단하는 체계가 필요하다. 기업 차원에서는 비인가 클라우드 전송 탐지, 관리자 권한 최소화, 브라우저 쿠키와 세션 탈취 방지, 내부망에서의 비정상 프로세스 실행 감시, DLL 사이드로딩 징후 추적 등 더 세밀한 방어가 요구된다. 특히 원격관리 도구와 정식 서명 소프트웨어조차 악용될 수 있다는 점을 전제로, “정상처럼 보여도 실제로는 이상한지”를 확인하는 운영 절차가 중요해졌다.
무엇보다 인식 전환이 필요하다. 보안은 더 이상 낯선 파일을 걸러내는 기술 문제가 아니라, 익숙한 것까지 의심해야 하는 운영 문제로 바뀌고 있다. 중국 연계 해킹조직은 바로 그 익숙함을 가장 효율적인 침투 경로로 활용하고 있다. 기업과 개인이 “보안 프로그램이 있으니 괜찮다”, “검색 결과 첫 번째니까 안전하다”, “이름 있는 프로그램처럼 보여서 믿었다”는 태도에 머무른다면, 앞으로도 같은 방식의 피해는 반복될 수밖에 없다. 한국 사회가 이번 위협을 심각하게 받아들여야 하는 이유는 분명하다. 중국발 해킹은 더 이상 시스템의 약점을 찌르는 수준이 아니라, 사람과 조직이 믿고 있던 질서 자체를 파고들고 있기 때문이다. 그 신뢰가 무너지는 순간, 보안 사고는 단순한 침입이 아니라 일상 전체의 붕괴로 이어질 수 있다.
