구글, ‘GRIDTIDE’ 글로벌 사이버 첩보 캠페인 인프라 차단…42개국서 53개 엔터티 접근 확인

구글이 중국과 연계된 것으로 의심되는 사이버 첩보 조직(구글 추적명 UNC2814, 별칭 ‘Gallium’)의 글로벌 공격 인프라를 차단했다고 2월 25일 밝혔습니다. 구글 위협 인텔리전스 그룹(GTIG)과 만디언트(Mandiant), 파트너들이 공조해 공격자가 통제하던 구글 클라우드 프로젝트와 인터넷 인프라를 종료하고, 표적 관리와 명령·통제(C2)에 악용되던 구글 스프레드시트(구글 시트) 관련 계정·API 접근을 비활성화했다는 내용입니다.

이번 활동은 ‘GRIDTIDE’로 불리며, 구글은 차단 시점 기준 42개국에서 이름이 공개되지 않은 53개 엔터티에 대한 침해(접근)가 확인됐다고 설명했습니다. 표적은 주로 정부기관과 통신사 등으로 알려졌습니다.

특히 이번 사례에서 눈에 띄는 대목은 ‘구글 제품이 해킹됐다’기보다, 공격자가 정상적으로 동작하는 클라우드 서비스를 ‘정상 업무 트래픽’처럼 보이도록 악용했다는 점입니다. 구글은 구글 시트 API 호출을 C2 통신에 활용해 탐지를 피하려 했으며, 일부 시스템에서는 ‘GRIDTIDE’로 부르는 백도어가 관찰됐다고 밝혔습니다. 구글은 이 활동이 구글 제품의 취약점이나 보안 결함 때문이 아니라, 합법적 기능을 악용한 방식이라고 선을 그었습니다.

보스턴 한인 유학생·교민 관점에서 이번 이슈는 ‘원격 해킹’이라는 추상적 위험을 넘어, 통신사가 표적이 될 때 개인정보(이름, 전화번호, 생년월일 등)와 함께 통화·문자 기록 같은 통신 관련 정보가 노출될 수 있다는 점을 다시 상기시킵니다. 한국·미국을 오가며 로밍을 쓰거나, eSIM/USIM을 포함한 통신사 계정을 여러 채널에서 관리하는 경우에는 계정 보안이 생활 편의와 직결될 수 있습니다.

생활에서 점검할 포인트는 과하지 않게 정리할 수 있습니다. (1) 구글 계정과 통신사 계정에 2단계 인증을 적용하고, 비밀번호 재사용을 피합니다. (2) ‘요금 미납’, ‘계정 확인’, ‘eSIM 재발급’ 등을 내세운 문자·이메일 링크는 익숙한 기관명이라도 바로 누르기보다, 공식 앱이나 직접 입력한 주소로 먼저 확인합니다. (3) 해외 체류 중 갑작스러운 ‘서비스 없음’ 전환, 본인 요청 없는 eSIM/USIM 변경 알림이 오면 통신사에 사실 확인을 요청해 계정 탈취(번호 이동·SIM 스와핑) 가능성을 점검하는 편이 안전합니다.

구글은 이번 활동이 최근 다른 중국 연계 캠페인으로 거론된 ‘Salt Typhoon’과는 별개라고도 밝혔습니다. 핵심은 공격이 특정 국가나 업종에만 국한되지 않고, 우리가 일상적으로 쓰는 클라우드·SaaS 서비스를 ‘정상 서비스처럼’ 악용하는 방향으로 정교해지고 있다는 점입니다.