전문가 통찰 및 한줄평 (Insight)
“클라우드 보안의 허점을 노린 PCPJack의 대담한 공격은 여전히 진화하는 위협 환경을 보여줍니다.
단순한 서버 탈취를 넘어 은밀한 SMTP 릴레이망 구축은 스팸, 피싱 공격의 지능화를 예고하며, 모든 클라우드 사용자에게 경각심을 요구합니다.”
최근 사이버 보안 업계에 충격을 안겨준 사건이 발생했습니다.
위협 행위자 그룹 ‘PCPJack’이 아마존 웹 서비스(AWS), 구글 클라우드(Google Cloud), 마이크로소프트 애저(Microsoft Azure) 등 주요 클라우드 서비스를 이용하는 230개의 서버를 장악하여 은밀한 SMTP 이메일 릴레이 네트워크를 구축한 사실이 밝혀졌습니다.
이는 클라우드 인프라의 취약점을 악용한 지능적인 공격으로, 잠재적인 파급력이 상당할 것으로 예상됩니다.
핵심 이슈 및 배경
Hunt.io의 보고서에 따르면, PCPJack은 미국, 유럽, 아시아 전역에 걸쳐 침해된 비즈니스 서버들을 SMTP 프록시로 전환했습니다.
이 서버들은 이메일 릴레이 기능을 검증받은 후, 5분마다 업데이트되는 다운스트림 서버와 동기화되었습니다.
조사팀이 발견 당시 이 인프라는 여전히 활발하게 작동 중이었으며, 공격자가 커맨드 앤 컨트롤(C2) 서버에 인증 절차 없이 두 개의 공개 디렉토리를 남겨두는 허점을 보이면서 소스 코드, 컴파일된 바이너리, 배포 상태 로그, 인터넷 스캐너, 익스플로잇 도구, 실시간 Sliver 구성 등이 다수 발견되었습니다.
이는 PCPJack이 단순한 일회성 공격이 아닌, 체계적이고 지속적인 운영을 목표로 하고 있음을 시사합니다.
PCPJack은 지난 2026년 4월, SentinelOne에 의해 처음 발견되었습니다.
당시 이 그룹은 클라우드 서비스를 표적으로 하는 자격 증명 탈취 프레임워크를 개발하고 있었으며, 최근 몇 달간 소프트웨어 공급망 공격으로 주목받았던 또 다른 악명 높은 해킹 그룹 ‘TeamPCP’와 관련된 프로세스 및 아티팩트를 제거하려는 움직임도 포착되었습니다.
이러한 배경은 PCPJack이 기존의 공격 방식에 익숙하며, 클라우드 환경에 특화된 새로운 공격 기법을 개발하고 있음을 보여줍니다.
상세 비교 분석
PCPJack이 사용한 공격 도구와 기법은 기존의 클라우드 침해 사례와 비교했을 때 몇 가지 주목할 만한 특징을 보입니다.
특히, Sliver C2 클라이언트와 Chisel 터널링 및 프록시 바이너리를 활용하여 Linux CPU 아키텍처(AMD64, ARM64, x86) 전반에 걸쳐 공격을 확장하는 방식은 매우 정교합니다.
피해 시스템에 배포되는 바이너리는 숨겨진 점(.)으로 시작하는 파일 형태로 저장되며, /var/tmp/.xs 경로에 영속성을 확보합니다.
공격자는 이 경로를 통해 Sliver C2 클라이언트 구성을 로드하고, 최근 10분 이내에 체크인한 Linux 비콘(C2 서버에 주기적으로 접속하여 명령을 수신하는 에이전트)을 필터링하는 배포 스크립트를 사용했습니다.
각 비콘은 자신만의 SOCKS5 프록시 포트를 할당받는데, 이는 Sliver UUID의 MD5 해시값을 기반으로 결정되어 매번 동일한 포트로 매핑됩니다.
이는 공유 포트 레지스트리의 필요성을 없애는 효율적인 방법입니다.
또한, 이 스크립트는 SMTP 품질 게이트를 실행하여 smtp.gmail.com:587으로의 아웃바운드 접속을 테스트합니다.
이 테스트를 통과하지 못하는 호스트는 가치가 없는 것으로 간주되어 건너뜁니다.
이 품질 게이트는 공격의 명확한 목적, 즉 이메일 릴레이가 가능한 서버만을 선별하여 활용하겠다는 의도를 분명히 보여줍니다.
비콘은 50개씩 배치로 처리되며, 느린 체크인 간격을 수용하기 위해 업로드 후 25분, 실행 명령 후 15분의 대기 시간을 갖습니다.
이후 버전의 배포 스크립트에서는 SMTP 게이트와 배치 로직이 제거된 것으로 확인되었으며, 이는 공격 운영의 최적화 및 고도화를 의미합니다.
진단 스크립트는 5개의 활성 비콘을 선택하여 Chisel 바이너리 존재 여부, Chisel 프로세스 실행 상태, 디스크 공간, C2 서버 포트 9000 도달 가능성, 크론(cron) 항목이나 systemd 서비스와 같은 영속성 아티팩트 존재 여부를 확인하는 쉘 명령을 실행합니다.
C2 서버 자체에서는 chisel_verifier.py라는 Python 스크립트가 지속적인 백그라운드 데몬으로 실행되어, 60초마다 ss -tlnp 명령을 통해 활성 Chisel 터널 포트를 열거하고, 각 새 포트의 SMTP 기능을 테스트하며, 실패하거나 드롭된 터널을 활성 풀에서 제거합니다.
검증된 프록시는 api.ipify.org 및 ip-api.com과 같은 서비스를 통해 IP 주소, 국가, ASN 정보가 추가되어 관리됩니다.
이 프록시 목록은 SCP(Secure Copy Protocol)를 통해 별도의 다운스트림 서버로 5분마다 동기화되지만, 해당 서버는 현재 접근이 불가능한 상태입니다.
| 특징 | PCPJack 공격 | 기존 클라우드 침해 |
|---|---|---|
| 목표 서버 수 | 230개 (AWS, Google Cloud, Azure) | 수십~수백 개 (클라우드 및 온프레미스 혼합) |
| 주요 활용 목적 | 은밀한 SMTP 릴레이 네트워크 구축 | 데이터 탈취, 랜섬웨어 배포, 봇넷 구성, 암호화폐 채굴 등 다양 |
| 핵심 도구 | Sliver C2, Chisel 터널링, 맞춤형 배포 스크립트 | Mimikatz, Cobalt Strike, Metasploit 등 범용 도구 사용 |
| 탐지 회피 기법 | 숨겨진 파일, deterministic 포트 할당, SMTP 품질 게이트 | 프로세스 은닉, 네트워크 트래픽 위장 등 |
| 운영 방식 | 체계적인 서버 검증 및 동기화, 지속적인 업데이트 | 비교적 단발성 혹은 제한적인 운영 |
시장 파급 효과 및 전망
PCPJack의 공격은 클라우드 서비스 제공업체(CSP)와 해당 서비스를 이용하는 기업 모두에게 심각한 보안 위협을 제기합니다.
CSP는 자체 인프라 보안을 강화하고, 이상 징후 탐지 시스템을 고도화해야 할 필요성이 더욱 커졌습니다.
또한, 고객사의 보안 사고 예방을 위한 가이드라인 제공 및 보안 강화 프로그램 지원을 확대해야 할 것입니다.
국내 클라우드 시장 또한 AWS, GCP, Azure가 상당 부분을 차지하고 있으며, 이러한 공격 방식은 언제든 국내 환경에도 적용될 수 있다는 점에서 철저한 대비가 필요합니다.
기업 입장에서는 단순히 CSP의 보안에만 의존해서는 안 됩니다.
자체적인 클라우드 보안 설정(Cloud Security Posture Management, CSPM) 강화, 접근 통제(Access Control) 정책의 세밀한 관리, 침입 탐지 및 대응(Intrusion Detection and Response, IDR) 시스템 구축은 필수적입니다.
특히, 이번 사건은 공격자가 이메일 릴레이라는 특정 목적을 위해 다수의 서버를 은밀하게 활용했다는 점에서, 향후 스팸, 피싱, 사기 등 다양한 악성 이메일 캠페인의 배후에 이런 형태의 네트워크가 활용될 가능성이 높습니다.
이는 클라우드 기반의 서비스형 스팸(Spam-as-a-Service) 비즈니스의 출현 가능성까지 시사합니다.
국내 IT 기업, 특히 SaaS(Software as a Service)를 제공하는 기업들은 자사 서비스의 보안성과 함께, 고객들이 사용하는 인프라의 보안 상태를 면밀히 점검해야 합니다.
결론
PCPJack의 230개 클라우드 서버 장악 사건은 클라우드 보안의 중요성을 다시 한번 일깨워주는 계기가 되었습니다.
공격자가 은밀하게 SMTP 릴레이 네트워크를 구축한 방식은 앞으로 더욱 지능화될 사이버 공격의 전조를 보여줍니다.
클라우드 사용자들은 더욱 강력한 보안 인식과 체계적인 보안 관리로 무장해야 할 것입니다.
궁극적으로, 이러한 위협에 효과적으로 대응하기 위해서는 CSP, 기업, 그리고 보안 연구 기관 간의 긴밀한 협력이 필수적입니다.
(클라우드 보안 관련 상세 정보) 여러분의 클라우드 환경은 안전하신가요?
자주 묻는 질문 (FAQ)
Q: PCPJack 공격으로 인해 어떤 서비스가 가장 큰 위험에 노출되나요?
A: PCPJack은 AWS, Google Cloud, Azure 등 주요 클라우드 서비스를 직접적으로 표적으로 삼았습니다.
이들 클라우드 서비스를 기반으로 운영되는 웹 서비스, 애플리케이션, 데이터베이스 등 다양한 인프라가 잠재적인 위험에 노출될 수 있습니다.
특히, 서버 자체에 대한 직접적인 접근 권한을 획득한 경우, 해당 서버에서 제공하는 모든 서비스가 침해될 가능성이 있습니다.
Q: 이번 사건은 국내 클라우드 보안 시장에 어떤 영향을 미칠 것으로 보이나요?
A: 이 사건은 국내 클라우드 시장에도 경종을 울릴 것입니다.
CSP들은 보안 강화에 더욱 투자할 것이며, 기업들은 자체 클라우드 보안 관리 역량을 강화하기 위해 CSPM, IAM(Identity and Access Management) 솔루션 등에 대한 관심이 높아질 것입니다.
또한, 클라우드 보안 전문가에 대한 수요가 증가하고 관련 교육 및 컨설팅 시장도 성장할 것으로 예상됩니다.
Q: 이러한 공격을 예방하기 위해 기업이 취할 수 있는 구체적인 조치는 무엇인가요?
A: 기업은 최소 권한 원칙(Principle of Least Privilege)에 기반한 IAM 정책 수립 및 관리, 다단계 인증(MFA) 필수 적용, 정기적인 보안 설정 감사 및 취약점 점검, 최신 보안 패치 적용, 그리고 실시간 침입 탐지 및 로깅 시스템 구축 등을 통해 공격 표면을 최소화하고 위협을 조기에 감지해야 합니다.
또한, 직원들을 대상으로 한 정기적인 보안 인식 교육도 매우 중요합니다.
Q: PCPJack의 공격 목표가 명확하게 밝혀지지 않았는데, 예상되는 다음 단계는 무엇인가요?
A: 현재까지 밝혀진 바에 따르면 PCPJack은 은밀한 SMTP 릴레이 네트워크를 구축했습니다.
이는 대규모 스팸 메일 발송, 피싱 캠페인, 혹은 악성 코드 유포 등을 위한 기반 시설로 활용될 수 있습니다.
향후 이러한 인프라를 활용하여 금전적 이득을 취하거나, 더 큰 규모의 사이버 공격을 수행할 가능성을 배제할 수 없습니다.
따라서 공격의 의도와 파급력에 대한 지속적인 모니터링이 필요합니다.
관련 추천 상품
