어두운 데이터센터에서 울리는 서버 소음, 유출된 자격증명의 희미한 속삭임.
2025년 9월부터 러시아 기관들은 이런 현실에 직면했다. 우크라이나 지지 해커 그룹 PhantomCore의 집요한 공세 덕분이다. Positive Technologies가 이 그룹의 전술을 세세히 분석했다. Fairy Trickster나 Head Mare 같은 별명으로도 불리는 이들은 TrueConf 화상회의 서버를 집요하게 노렸다. 놀라운 건 목표물이 아니라 기술적 손재주다. 세 가지 취약점을 연계한 익스플로잇 체인으로 취약 시스템에서 원격 명령 실행까지 해낸다.
그냥 구경하는 수준이 아니다. 스크립트 키디들의 놀이터도 아니다. “이 취약점 체인에 대한 공개 익스플로잇은 없었지만, PhantomCore 공격자들은 자체 연구로 재현해 러시아 기관에 대거 침투했다”며 연구원 Daniil Grigoryan과 Georgy Khandozhko가 밝혔다. 이는 제로데이 발굴과 무기화에 올인한 R&D를 보여준다. 보안 커뮤니티가 눈치채기도 전에.
PhantomCore는 2022년부터 활동 중이다. 동기는 러-우 전쟁 맥락에서 정치적·금전적이다. 민감 데이터 탈취와 네트워크 마비가 주 패턴. Babuk, LockBit 소스코드를 훔쳐 랜섬웨어까지 써봤다. Positive Technologies는 2025년 9월 “대규모 작전을 펴면서도 은폐에 강하다. 피해 네트워크에 오랫동안 들키지 않고, 자체 공격 도구를 지속 업데이트한다”고 지적했다. 이 은폐력과 적응력은 수비 측에겐 정말 무섭다.
기술적 KO: TrueConf 취약점 뜯어보기
Positive Technologies가 밝힌 PhantomCore의 구체적 취약점은 침투 과정을 명확히 보여준다:
- BDU:2025-10114 (CVSS 7.5): 접근 제어 부족. 간단히 말해 인증 우회해 /admin/* 엔드포인트를 아무 검증 없이 쿼리한다. 보안 시설 정문에 신분증 없이 들어가는 꼴.
- BDU:2025-10115 (CVSS 7.5): 초기 뚫린 뒤 시스템 파일 아무거나 읽는다. 민감 설정 파일, 사용자 데이터, 지적재산권—모두 노출.
- BDU:2025-10116 (CVSS 9.8): 클라이맥스. 명령 인젝션 취약점으로 CVSS 9.8. 임의 OS 명령 주입·실행. 여기서 정찰에서 완전 장악으로 전환.
이 셋을 체인으로 묶으면 골든 티켓. 인증 뚫고 무단 접근 후 서버에 직접 명령 내린다. TrueConf는 2025년 8월 27일 패치를 뿌렸지만, 첫 공격은 9월 중순. 3주 창구면 고수급 공격자들에겐 충분한 발판이다.
화상회의 서버에서 네트워크 발판으로
TrueConf 서버에 들어간 PhantomCore는 가만있지 않는다. 발판 삼아 내부 네트워크를 옮겨 다니며 정찰·은폐·자격증명 수집 멀웨어를 떨군다. 터널링 유틸로 트래픽을 위장해 지속 채널을 만든다.
자주 쓰는 수법은 PHP 웹셸 배포. 이 악성 스크립트로 감염 호스트에 파일 업로드하고 원격 명령 실행. 동반 PHP 파일은 프록시 서버 역할로 후속 악성 요청을 내부 합법 서버처럼 위장. 들키지 않고 오래 버티게 하는 영리한 속임수다.
PhantomCore 도구상자는 자체 제작과 공개 도구 혼합. 커스텀 TrueConf 클라이언트 PhantomPxPigeon은 리버스 쉘 구현. 원격 서버에 연결해 태스크 받고 명령 실행, 웹셸 통해 트래픽 프록시. 지속성 도구로는 PhantomSscp (DLL), MacTunnelRat (PowerShell), PhantomProxyLite (PowerShell)로 리버스 SSH 터널. 정찰엔 ADRecon, 자격증명 수집엔 Veeam-Get-Creds (Veeam 백업 타깃 수정 스크립트), DumpIt, MemProcFS. 측면 이동은 WinRM, RDP, 광범위 접근엔 Velociraptor. C2는 microsocks, rsocx, tsocks로 SOCKS 프록시 관리.
어떤 침투에선 ‘TrueConf2’라는 불량 관리자 유저를 만들어 권한을 높였다. 타깃 환경에 깊이 박히려는 의지를 보여준다.
피싱: 여전한 초기 진입로
TrueConf 익스플로잇이 주요지만, 전통 수법도 포기 안 한다. 2026년 1~2월 러시아 기관에 피싱으로 초기 접근. ZIP·RAR 아카이브에 백도어 넣어 원격 명령 실행과 페이로드 배포. 제로데이와 소셜 엔지니어링을 섞은 하이브리드 접근.
계산된 위협 지형
“PhantomCore는 러시아 위협 지형에서 가장 활동적인 그룹 중 하나”라며 Positive Technologies 연구원들이 결론. “공개 도구(Velociraptor, Memprocfs, Dokan, DumpIt)와 자체 도구(MacTunnelRAT, PhantomSscp, PhantomProxyLite)를 섞어 정부·민간 전 산업 노림.” 프린지 그룹이 아니다. 러시아 사이버 위협을 주도하는 플레이어다.
전략은 명확: “PhantomCore는 국내 소프트웨어 취약점을 적극 찾아 익스플로잇 개발, 러시아 기업 대거 침투한다.” 국내 소프트웨어 생태계를 노린 국가적 사이버 목표를 드러낸다. 방치하면 러시아는 물론 국경 넘어 네트워크 보안에 중대 파장.
TrueConf는 체계적 리스크?
PhantomCore의 TrueConf 공격은 러시아 국내 소프트웨어 보안 태세에 큰 물음표를 던진다. 패치 뿌렸지만, 발견·활용까지 간격이 문제. 개발 생애주기 약점과 사용자 패치 미흡이 취약성을 키운다. 공격 기술 빠르게 진화해 패치 시스템도 새 익스플로잇이나 신규 결함에 다시 노출될 수 있다. 이 사건은 소프트웨어 보안이 개발·유지보수·사용자 경계에 달렸음을 상기시킨다.
핵심 인프라에 미치는 의미?
러시아 핵심 인프라 운영자들에겐 단순 뉴스가 아니다. 붉은 경고등이다. TrueConf 같은 엔터프라이즈 커뮤니케이션은 민감 내부 통신 다룬다. 세그먼테이션·접근 제어 미흡 시 OT 네트워크나 핵심 시스템 직통문. PhantomCore의 지속성·측면 이동은 APT 방어 부족을 드러낸다. 커스텀 멀웨어, 불량 계정, 고급 터널링은 장기 은폐 가능성을 보여준다. 위협 사냥 강화, 인시던트 대응 계획, ‘침투 가정’ 보안 태세가 시급하다.
