default_setNet1_2

[주요 사이버 공격 그룹②] 국방·대북단체 인사 노리는 사이버 스파이

기사승인 2018.07.02  14:06:59

공유
default_news_ad1

- 외교·경제 협력 시 유리한 위치 차지하기 위해 사이버 스파이 활동…전 세계 정부 기관 타깃 공격 진행

7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>

북한 배후로 둔 사이버 공격 성행

우리나라 군, 국방, 통일·외교 관련 전문기관을 노리는 공격의 배후에는 북한과 중국이 있을 것이라고 추정된다. 국가 후원을 받는 사이버 스파이 활동을 통해 우리나라 기밀정보를 탈취하고 향후 외교나 협력의 부분에서 더 유리한 위치를 차지하기 위한 목적으로 공격했을 가능성이 높다.

그러나 북한이나 중국이 아니라 다른 국가, 범죄 집단이 공격했을 가능성도 물론 있다. 기밀정보를 탈취해 다른 기관에 판매하거나 공격 받은 기관에 협박해 돈을 뜯어내려는 시도도 얼마든지 있을 수 있다.

국가 후원을 받는 사이버 범죄 그룹 중 북한이 배후에 있을 것으로 추정되는 그룹이 있다. 안랩은 ‘레드아이즈’, 이스트시큐리티는 ‘금성121’이라고 부르고 있으며, 파이어아이는 APT37 혹은 ‘리퍼(Reaper)’, 시스코는 ‘그룹123’, 카스퍼스키랩은 ‘스카러프트’라고 명명한다. 주로 우리나라 대북단체와 국방분야를 주로 공격하며, 최신 제로데이 취약점을 이용한다.

파이어아이는 APT37이 우리나라를 넘어 일본, 베트남, 중동 일대로 공격범위를 확대하고 있다고 추정하고 있다. APT37는 늦어도 2012년경부터 활발히 활동하기 시작했으며, 주로 국내 공공기관과 주요 사설 기관을 공략해왔다. 산업분야에서도 화학, 전자, 제조, 항공우주산업, 자동차 및 헬스케어 등 가리지 않고 공격 대상 범위를 넓혀가고 있다.

전수홍 파이어아이코리아 지사장은 “파이어아이는 APT37의 주요 임무가 북한의 군사 전략, 정치, 경제적 이익을 위한 기밀 정보 수집이라고 판단하고 있다. 이에 대한 근거는 국내 공공기관 및 사설 업체가 지속적으로 공격 대상이 되었다는 점과 사회공학에 기반합니다. 최근 APT37가 목표 범위를 넓힌 것은 북한의 전략적 이익에 직접적인 연관성이 있는 것으로 보인다”고 설명했다.

   

▲정교하게 설계된 표적공격은 목표 조직의 IT 시스템 뿐 아니라 임직원의 습관, 해당 국가의 특수한 문화 등도 조사해 타깃 맞춤형 공격 방식을 설계한다. 상기 이미지는 우리나라 기관의 망분리 취약점을 이용해 PMS 서버를 감염시킨 후 폐쇄망의 중요 데이터를 탈취한 사고 개요도이다. (자료: 한국인터넷진흥원)

“협상 우위 차지하기 위해 스파이 활동”

파이어아이는 APT37의 배후에 북한이 있을 것으로 추정할 수 있는 공격 사례로, 중동의 한 회사를 대상으로 한 표적공격을 소개했다. 중동의 통신사가 북한 정부와 합작해 서비스를 출시하려다가 협상이 결렬됐는데, 그 후 부터 북한과 협력사업을 추진하는 중동의 또 다른 회사가 표적공격을 당했다. 파이어아이는 북한이 협상 우위에 서기 위해 상대회사의 기밀정보를 훔쳤다고 분석하고 있다.

APT37은 국제 문제, 무역 등과 관련된 개인, 베트남 국제 거래 운송회사 대표, 올림픽 선수 개인정보 등을 수집한 것으로 알려지고 있으며, 탈북자와 인권 관련 기관을 표적으로 스파이 활동을 벌여온 것으로 보인다. 우리나라를 노린 공격 중에서는 시스템을 파괴하는 악성코드도 발견된 바 있으며, 디도스, 혹은 금전적인 목적의 공격도 발견된다.

우리나라를 타깃으로 하는 공격이 북한만 있는 것은 아니다. 중국, 러시아도 한국을 공격대상으로 삼고 있다.

전수홍 지사장은 중국 측 조직이 벌였을 것으로 의심되는 탬프틱(TEMP.Tick)을 소개했다. 이들은 과거 중국 반체제 단체를 공격한 바 있으며, 한국·일본 방위단체, 중공업, 항공우주산업, 기술업계, 금융업계, 헬스케어, 자동차산업, 언론 등을 공격한다.

러시아가 배후에 있을 것으로 보이는 공격그룹 ‘털라 팀(Turla Team)’은 파이어아이, 카스퍼스키랩, 시스코 등 여러 기업들이 조사해 분석 보고서를 발표한 바 있다. 털라팀은 늦어도 2006년 부터 활동해온 것으로 추정되고, 우리나라를 포함한 전 세계 정부기관에서 사이버 스파이 활동을 하고 있다. 

김선애 기자 iyamm@datanet.co.kr

<저작권자 © 데이터넷 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3
default_setNet2
default_bottom
ad28
#top