구글이 중국 연계 해킹조직을 차단했다고 회사가 수요일 밝혔다. 구글 위협정보그룹(Google Threat Intelligence Group)은 최소 53개 기관이 42개국에 걸쳐 침해된 정황을 확인했고, 해당 해킹그룹을 UNC2814 및 “Gallium”으로 추적하고 있다고 설명했다.
2026년 2월 25일, 로이터 통신의 보도에 따르면, 해당 보도는 AJ Vicens 기자가 작성했다. 구글은 이 해킹조직이 거의 10년에 걸쳐 정부 기관과 통신회사들을 대상으로 침투해온 역사가 있다고 밝혔다. 구글의 수석 분석가인 존 헐트퀴스트(John Hultquist)는 이 작전을
“전 세계의 사람과 조직을 감시하는 거대한 감시 체계였다”
고 표현했다.
구글과 익명의 파트너들은 이 해킹조직이 통제하던 구글 클라우드 프로젝트를 종료하고, 해당 조직이 사용하던 인터넷 인프라를 확인·차단했으며, 그들이 타깃팅과 데이터 절취 작전에 사용하던 구글 시트(Google Sheets) 접근 계정을 비활성화했다고 밝혔다. 구글은 Google Sheets를 이용한 활동은 구글 제품 자체의 취약점이 아닌, 합법적 네트워크 트래픽에 섞여 탐지를 회피하려는 행위였다고 설명했다.
구글 위협정보그룹의 수석 매니저인 찰리 스나이더(Charlie Snyder)는 이 조직이 42개국에서 53개 기관에 대한 접근을 확인했다고 밝혔고, 차단 시점에 추가로 최소 22개국에서의 잠재적 접근이 있었을 가능성이 있다고 덧붙였다. 스나이더는 구체적 피해 기관 이름은 공개하지 않았으나, 한 사례에서 이 그룹이 “GRIDTIDE”라 불리는 백도어를 시스템에 설치했으며 그 시스템에는 전체 이름, 전화번호, 생년월일, 출생지, 유권자 ID 및 국가 신분증 번호가 포함돼 있었다고 전했다.
구글은 이번 캠페인의 목표와 수법에 대해 “특정 대상을 식별·추적하기 위한 시도로 보이며, 유사 캠페인은 통화 기록(call data records)을 유출하거나 SMS 메시지를 모니터링하고, 심지어는 통신사의 합법적 감청(lawful intercept) 기능을 통해 대상자를 추적하는 데 이용되기도 했다”고 설명했다.
중국 대사관의 반응
중국 대사관 대변인 류펑위(Liu Pengyu)는 성명을 통해
“사이버보안은 모든 국가가 직면한 공통의 과제이며 대화와 협력을 통해 해결해야 한다”
고 밝히며, “중국은 법에 따라 해킹 활동에 지속적으로 반대하고 단속하며, 동시에 사이버보안 문제를 빌미로 중국을 비방하려는 시도에 강력히 반대한다”고 말했다.
유사하지만 별개의 캠페인: ‘Salt Typhoon’
구글은 이번 활동이 통신사 중심의 고프로파일 공격으로 알려진 “Salt Typhoon”과는 별개의 것이라고 분명히 했다. 미국 정부가 중국과 연계된 것으로 연결한 해당 캠페인은 수백 개의 미국 기관과 주요 정치인들을 표적으로 삼았다.
기술적·전술적 해설
이번 사건에서 중요한 점은 공격자가 정상적인 클라우드 서비스(예: Google Sheets)를 데이터 수집 및 신호 전달 채널로 악용했다는 사실이다. 이는 전통적 의미의 소프트웨어 취약점(예: 제로데이)을 이용한 직접적인 침투와는 다르다. 공격자는 합법 서비스 인증을 얻거나 계정을 탈취한 뒤, 정상 트래픽에 섞여 활동하면서 탐지를 회피한다. 이런 방식은 탐지 시스템이 트래픽의 ‘이상성(anomaly)’을 기반으로 하는 경우 특히 유효하다.
또한 구글이 밝힌 백도어(“GRIDTIDE”)의 존재는 목표 시스템 내부에 지속적 접근(persistent access)을 확보했다는 것을 의미한다. 백도어는 원격명령의 실행, 데이터 수집기 설치, 추가 계정 생성 등 다양한 악의적 기능을 수행할 수 있다. 이번에 식별된 데이터 유형(이름, 연락처, 생년월일, 출생지, 유권자 ID, 국가 신분증 번호)은 개인식별정보(PII) 중 민감한 범주에 속하며, 이들이 대규모로 유출될 경우 개인의 권리 침해, 신원도용, 사회적·정치적 리스크가 발생할 수 있다.
보안 용어 설명
백도어(Backdoor): 시스템이나 애플리케이션에 허가받지 않은 접근을 가능하게 하는 비공식적 접근 통로를 말한다. 공격자가 원격에서 명령을 내리거나 추가 악성 모듈을 설치하는 데 사용된다.
Lawful intercept(합법적 감청): 통신사업자가 정부기관의 법적 요청에 따라 특정 통화를 감청하거나 데이터를 제공하는 시스템이다. 공격자가 이 기능을 악용하면 특정 개인의 통화·메시지까지 모니터링할 수 있다.
클라우드 서비스 악용: 공격자가 합법적 클라우드 서비스의 기능을 비정상적·악의적으로 활용해 탐지를 피하는 기법을 의미한다. 예컨대 문서 공유·동기화 기능을 통해 명령·제어(C2) 통신을 수행하는 사례가 있다.
금융·산업적 영향 분석
이번 사건은 통신사 및 클라우드 서비스 제공업체, 그리고 보안 솔루션 제공업체에 걸쳐 다층적 영향을 미칠 가능성이 높다. 첫째, 통신사와 정부 조직은 민감 데이터의 보호 강화와 내부 모니터링 시스템 보완을 위해 추가적인 보안 예산을 책정할 가능성이 크다. 이는 네트워크 보안 장비, 사고 대응(incident response) 서비스, 보안 컨설팅 수요 증가로 이어져 관련 산업의 단기적 매출 상승을 촉발할 수 있다.
둘째, 클라우드 플랫폼 사업자는 서비스 남용(misuse)을 탐지·차단하기 위한 내부 통제와 계정 보호(예: 멀티팩터 인증, 이상행동 탐지) 기능을 강화할 필요가 있다. 이 과정에서 일부 중소 클라우드 업체는 기술·인력 확보에 부담을 느낄 수 있으며, 대형 사업자에게는 신뢰도 개선의 기회가 된다.
셋째, 사이버 공격에 대한 규제와 감독이 강화될 가능성이 있다. 특히 개인정보가 포함된 사건인 만큼 각국 규제기관은 통신사·클라우드 사업자에 대한 보안 준수 요구를 강화할 수 있다. 이는 규제 비용 증가와 함께 위반 시 제재 리스크를 높여 관련 기업의 주가 변동성 요인이 될 수 있다.
마지막으로 금융시장 관점에서 보면, 보안 관련 서비스·장비 공급업체의 수혜 가능성이 높다. 그러나 대규모 침해 사건이 연이어 발생하면 클라우드 인프라 사업자의 평판 리스크가 확대되며 단기적 투자심리가 악화될 수 있다. 따라서 투자자들은 관련 기업의 보안 투자 수준, 고객 이탈 가능성, 규제 리스크를 면밀히 점검할 필요가 있다.
권고와 결론
구글의 이번 차단 조치는 기술 제공자와 보안업계가 협력해 악성 인프라를 무력화한 대표적 사례다. 그러나 이번 사건은 여전히 다수의 기관·개인이 민감 데이터 유출 위험에 노출될 가능성이 남아 있음을 시사한다. 조직들은 즉시 계정 접근 권한 검토, 멀티팩터 인증 전면 적용, 내부 로그의 장기 보관 및 상관관계 분석, 클라우드 API 사용에 대한 엄격한 모니터링을 시행해야 한다.
또한 정부와 업계는 국제적 차원의 사이버 위협 정보 공유 체계를 강화하고, 통신사 및 클라우드 사업자에 대한 표준 보안 가이드라인을 공동으로 마련할 필요가 있다. 이번 사례는 기술적·정책적 대비가 결합될 때만이 광범위한 감시·데이터 수집 시도를 효과적으로 무력화할 수 있음을 보여준다.
