사고/사건
Mandiant M-Trends 2026 보고서: APT41, 자동차·운송 산업 포함 글로벌 장기 침투 캠페인 공개
보도일: 2026년 4월 8일|수집일: 2026년 4월 9일
요약
Google/Mandiant가 M-Trends 2026 보고서를 발표하여 중국 연계 APT41 그룹이 자동차·운송·물류 산업을 포함한 글로벌 산업에 장기 침투하고 있음을 공개했다. 초기 접근에서 핸드오프까지 22초로 단축되어 공격 속도가 극적으로 빨라졌다.
본문
Google Cloud의 Mandiant 팀은 2026년 4월 8일 M-Trends 2026 보고서를 발표했다. 이 보고서는 2025년 한 해 동안 수행한 50만 시간 이상의 침해 대응 조사를 기반으로 작성되었다. 보고서의 가장 주목할 만한 발견은 중국 연계 지능형 지속 위협(APT) 그룹인 APT41이 글로벌 해운·물류, 미디어·엔터테인먼트, 기술, 그리고 자동차 산업을 표적으로 장기 침투 캠페인을 수행하고 있다는 점이다. 피해 조직의 대부분은 영국, 이탈리아, 스페인, 터키, 대만, 태국에 소재하며, APT41은 2023년부터 이들 조직에 침투하여 장기간 무단 접근을 유지해 온 것으로 확인되었다. APT41은 Apache Tomcat Manager 서버의 웹셸을 이용하여 드로퍼를 실행하고 C2 통신용 백도어를 배포한 후, DUSTTRAP이라는 다단계 플러그인 프레임워크를 사용하여 최소한의 포렌식 흔적만 남기면서 키보드 직접 조작 활동을 수행했다. 보고서의 또 다른 핵심 발견은 초기 접근(initial access)에서 접근 권한 이전(handoff)까지 걸리는 시간이 평균 22초에 불과하다는 점이다. 이는 2022년의 8시간에서 극적으로 단축된 수치로, 위협 행위자의 공격 자동화 및 산업화가 급격히 진행되었음을 보여준다.
시사점
APT41과 같은 국가 배후 위협 그룹이 자동차 산업을 명시적 표적으로 삼고 있다는 점은 한국 OEM과 부품사에도 중대한 경고이다. 특히 영국·유럽·아시아의 자동차 관련 기업이 2023년부터 장기 침투당했다는 사실은, 현재 탐지되지 않은 침투가 진행 중일 가능성을 시사한다. 자동차 기업의 OT 네트워크와 IT 인프라에 대한 위협 헌팅(threat hunting) 활동을 강화하고, 웹 애플리케이션 서버(Tomcat 등)의 보안 점검을 우선적으로 수행해야 한다.