러시아 정부와 연계된 것으로 알려진 해킹 조직 APT29가 구글 계정의 '애플리케이션 전용 비밀번호(App Passwords)' 기능을 악용해, 2단계 인증(2FA)을 우회하고 이메일 계정에 장기적으로 접근하는 새로운 사회공학 기반 공격을 수행한 것으로 확인됐다. 이번 표적 공격은 2025년 4월부터 6월 초까지 활동했으며, 구글 위협 인텔리전스 그룹(GTIG)과 캐나다 토론토대 시민연구소(Citizen Lab)에 의해 공개됐다.
구글은 이번 공격 캠페인을 UNC6293이라는 이름으로 추적하고 있으며, 이는 러시아 외무정보국(SVR)과 연계된 것으로 알려진 APT29(다른 명칭: BlueBravo, Cozy Bear, Midnight Blizzard 등)의 활동으로 분석하고 있다. 공격 대상은 미국 국무부를 사칭한 이메일을 받은 세계 각국의 학자, 정부 비판 인사, 외교 관계자 등으로, 수 주에 걸친 친근한 대화 형식을 통해 신뢰를 형성한 뒤 공격이 이뤄진 것이 특징이다.
■앱 비밀번호 기능을 통한 2단계 인증 우회
공격의 핵심은 구글 계정 보안 기능 중 하나인 애플리케이션 전용 비밀번호(ASP)의 악용이다. 이 기능은 2단계 인증이 활성화된 구글 계정에서도 IMAP이나 SMTP 같은 구형 이메일 클라이언트에서 접근할 수 있도록 허용하는 16자리 비밀번호 생성 기능이다. 일단 이 비밀번호가 발급되면, 공격자는 이메일 클라이언트에 해당 코드를 입력해 피해자의 이메일 계정에 2차 인증 없이도 접근할 수 있다.
GTIG 연구원인 개비 론코네와 웨슬리 쉴즈는 “공격자는 피해자에게 ‘국무부의 안전한 클라우드 환경에 접속하기 위해 비밀번호를 설정해야 한다’는 명목으로 ASP 생성을 유도한 뒤, 그 코드를 공유하게 만든다”고 밝혔다. 이렇게 획득한 비밀번호를 활용해 공격자는 자체 이메일 클라이언트에서 피해자의 이메일 계정을 설정하고 장기적으로 이메일 내용을 열람하거나 감시하는 데 이용한다.
■국무부 사칭과 심리적 신뢰 유도 전략
이메일 피싱 수법은 매우 정교하게 구성돼 있다. 공격자는 미팅 초대 형식의 평범한 이메일을 보내며, 참조(CC)란에 ‘@state.gov’ 도메인을 사용하는 존재하지 않는 국무부 직원 4명 이상을 포함시킨다. 이에 대해 Citizen Lab은 “수신자는 ‘이 이메일이 가짜라면 참조된 국무부 직원 중 누군가는 반응을 보일 것이다’라고 생각하게 된다”고 설명했다.
공격자는 미국 국무부 이메일 서버가 존재하지 않는 주소에도 반송 메시지(bounce)를 보내지 않는다는 점을 악용해 이러한 심리적 기만 전술을 강화하고 있다. 이후 피해자에게 회의 자료 형식으로 위장한 PDF 문서를 보내며, 그 안에 구글 계정에서 ASP를 생성하는 절차와 함께 해당 비밀번호를 공유하도록 유도한다.
GTIG는 이와 유사한 두 번째 피싱 캠페인도 발견했다. 해당 캠페인은 우크라이나 관련 주제를 내세우며 피해자를 속이고, 해킹 성공 후에는 가정용 프록시나 VPS(가상 프라이빗 서버)를 이용해 피해자 계정에 접근했다. 이는 로그인 경보 회피를 위한 전략으로 분석된다. 구글은 현재 관련 계정들에 대한 비밀번호 초기화와 ASP 폐기 등 보안 조치를 취한 상태다.
이번 ASP 캠페인은 APT29가 올해 초부터 시도한 다양한 인증 회피 수법 중 하나다. 마이크로소프트는 2025년 초, 해당 조직이 디바이스 코드 피싱 및 디바이스 등록 피싱(device join phishing)을 이용해 Microsoft 365 계정 탈취를 시도했다고 밝힌 바 있다.
이 수법은 사용자가 수신한 이메일 속 회의 초대 링크를 클릭하도록 유도한 뒤, 마이크로소프트에서 발급하는 OAuth 코드를 공격자에게 전송하게 만들어 공격자가 정식 사용자로 장치를 등록할 수 있도록 하는 방식이다. 이 과정에서 공격자는 마치 조직 내부 장치인 것처럼 자신의 기기를 등록하고, 장기적으로 접근 권한을 확보할 수 있게 된다.
사이버보안 전문가들은 APT29의 이번 캠페인이 단순 기술적 해킹이 아닌, 심리 조작과 시스템의 틈새 기능을 활용한 정교한 위협이라는 점에서 매우 주의해야 한다고 강조하고 있다. 특히 ASP처럼 잘 알려지지 않았지만 보안 리스크가 큰 기능은 사용 환경에 따라 비활성화할 것을 권장했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
