중국 해커가 REDCap 서버를 해킹해 의료 연구 자료 절도

발행: 3시간 전 (2026년 6월 15일 PM 11:00 GMT+9)

7 분 소요

중국과 연계된 스파이 행위가 노출된 REDCap 서버를 타깃으로 삼아 InfiniteRed 악성을 배포하고 북미 의료 기관의 민감한 데이터를 도용했습니다.

Google Threat Intelligence Group (GTIG) 연구원들은 이 공격을 UNC6508이라는 추적 가능한 위협 행위자에归因하며, 해당 행위는 피해 네트워크 내에서 1년 이상undetected(발견되지 않은) 상태를 유지했습니다.

REDCap 플랫폼은 의료 및 과학 연구에서 널리 사용되어 규정 준수를 위한 데이터베이스와 설문을 구축하고 관리하는 데 활용됩니다.

연구자들은 초기 침해 경로가 정확히 무엇인지 확인하지 못했지만, UNC6508이 구식이며 취약한 REDCap 버전을 스캔하는 모습을 관찰했습니다.

조사 결과, 해당 의료 연구 기관의 침해는 2023년 9월에 발생했으며, 악성 활동은 2025년 11월까지 1년 이상 지속되었습니다.

초기 침해 후 3개월 만에 공격자들은 REDCap 시스템을 위해 특별히 설계된 ‘Infinitered’ 커스텀 악성을 배포하고, 그 구성 요소를 서버의 시스템 파일에 트로이잔 방식으로 은폐했습니다.

Infinitered는 세 가지 구성 요소로 이루어져 있습니다: 지속성/업데이트 모듈,Credential 해거, 그리고 백도어입니다.

로그인 해거는 REDCap 로그인 페이지를 통해 제출된 사용자 이름과 비밀번호를 캡처하고, 이를 암호화한 뒤 로컬 REDCap 데이터베이스 테이블에 저장하여 추후 검색합니다.

백도어는 HTTP 쿠키를 통해 명령을 수신하며, UNC6508에게 다음과 같은 기능을 제공합니다:

이 캠페인에서 특히 주목할 만한 기술은 중국과 연계된 위협 행위자들에게는 새로운 것으로, 클라우드 기반 엔터프라이즈 생산성 도구에 존재하는 정당한 ‘콘텐츠 컴플라이언스 규칙’ 기능을 활용해 이메일을 통해 데이터를 외부에 전송하는 것입니다.

관리자 권한을 획득한 후 UNC6508은 ‘Patroit’이라는 이름의 콘텐츠 컴플라이언스 규칙을 만들었습니다. 이 규칙은 조직 내 특정 키워드, 내용 패턴, 이메일 주소, 전화번호를 스캔합니다.

매치되는 경우 자동으로 해당 주소를 ‘BebitaBarefoot774@gmail.com’에 블라인드 탄생 복사(BCC)로 전송되며, 이 주소는 이미 구글에 의해 비활성화되어 있습니다.

가치 있는 데이터를 찾기 위해 사용된 키워드는 의료 연구, 첨단 기술, 군사 관련 주제, 그리고 지리적·전략적 정책과 연결됩니다.

Source: Google

GTIG는 이번 캠페인이 높은 수준의 운영 보안 실천을 보였다고 관찰했으며, 이는 미국 기반 주거용 프록시 인프라 활용, 해킹된 라우터, VPS, 자격 증명 재생, 그리고 데이터 외출 전용 인프라 사용 등을 포함합니다.

구글은 InfiniteRed 악성코드로 침해받은 미국과 캐나다의 여러 기관들을 알렸습니다.

“그들의 연구 분야는 분자 발견 및 임상 약물 시험에서부터 주(state) 수준 공중 보건 정책과 군사 준비성에 이르기까지 현대 의학의 광범위한 스펙트럼을 차지합니다.”

REDCap 관리자는 최신 가용 버전으로 인스턴스를 업그레이드하고 레거시 배포를 제거할 것을 권고합니다.

구글은 고위험 계정에 대해 MFA/2SV를 사용하고, Device Bound Session Credentials(DBSC)를 활용해 세션 해킹을 방지할 것을 조언합니다.

이 보고서에는 Infinitered 악성코드 감염을 스캔하기 위한 YARA 규칙과 지표 of compromise(IoC)가 포함되어 있습니다.

bas-report

보안 팀은 성공적인 공격의 54%를 로깅하고, 단 14%만 알림으로 감지합니다. 나머지는 여러분의 환경에서 눈에 띄지 않고 지나갑니다.

Picus 백서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 검출에 미치지 못하게 차단한다는 점을 보여줍니다.

관련 글