북한 해킹그룹인 ‘APT37’이 한국만 타깃으로 삼던 예전과 달리 지난해부터 다른 국가로 공격을 확장했다는 주장이 제기됐다. 공격 수법은 더 정교해졌다.
미국 정보보안 업체 파이어아이는 5일 서울 그랜드 인터컨티넨탈 호텔에서 기자간담회를 열고 이 같이 밝혔다. 행사에서 팀 웰스모어 파이어아이 디렉터는 “APT37이 북한의 새로운 해킹그룹은 아니지만, APT 지능형 공격인 게 이번에 처음 확인돼 이렇게 이름을 붙였다”고 설명했다.
APT(Advanced Persistent Threat, 지능형지속공격)공격은 조직이나 기업을 표적으로 해 장기간에 걸쳐 다양한 수단을 통해 지능적으로 해킹하는 방식을 말한다.
웰스모어 디렉터는 “APT37은 2012년부터 활동한 것 같다"며 “예전에는 한국 정부, 방위산업체, 국방에 관련된 조직만 타겟으로 해 민감한 정보를 탈취해왔다. 하지만 2017년부터는 타깃이 한국에 국한되지 않고 여러 다른 국가로 확장 된 걸 확인했다”고 밝혔다. 이어 “일본, 베트남, 중동까지 타깃으로 하고 있다”며 “공격 산업 분야도 화학, 전자, 제조, 항공우주산업, 자동차 등 가리지 않고 그 범위를 넓혀가고 있다”고 말했다.
파이어아이는 APT37이 공격하는 타깃을 보면 모두 북한의 국익과 밀접하다고 분석했다. 사업적으로 관계를 맺었다가 잘 성사되지 않은 중동이나 국제교역에 참여하고 있는 베트남 인사를 북한이 노리기도 했다고 설명했다.
이어 APT37가 정확한 타겟팅 공격을 한다면서도 아직도 초기침투는 ‘스피어 피싱’공격을 이용한다고 밝혔다. ‘스피어 피싱’은 메일을 이용해 수신자의 개인정보를 빼내거나 악성코드를 실행하는 방식의 공격을 말한다.
한국 보수언론 웹사이트나 북한 난민과 탈북자를 위한 뉴스포털 등의 미디어 조직, 혹은 토렌트와 같은 다운로드 사이트도 공격한 것으로 알려졌다. 또한 웰스모어 디렉터는 “한국에서 많이 사용하는 소프트웨어인 한글(hwp)프로그램의 취약점을 이용한 공격도 이뤄졌다”며 “특정 개인뿐만 아니라 특정 단체, 국가를 타겟할 수 있는 역량을 갖췄다”고 평가했다.
파이어아이는 “한국과 북한의 화해 분위기 모드 조성과는 상관없이 APT37의 예상치 못한 공격은 계속 이어질 것”이라고 전망했다. 따라 기업 차원에서 사이버 위협에 대비해야 한다고 조언했다.
관련기사
- 파이어아이, 엔드포인트 보안 대응 집약한 'HX 시리즈' 선봬2018.04.05
- 파이어아이, 항공-국방-제조 노린 '폼북' 악성코드 발견2018.04.05
- 파이어아이 "온라인 광고 통한 악성코드 공격 급증"2018.04.05
- 파이어아이, 엔드포인트 보안 솔루션 무료 업데이트2018.04.05
파이어아이는 이번 간담회에서 ‘2018 M-트렌드 보고서’도 함께 발표했다. 보고서에 따르면 공격자들이 아시아 태평양 지역 기관의 네트워크에 머무르는 평균 체류시간은 498일로 글로벌 평균 체류시간인 101일의 5배에 이르는 것으로 나타났다. 웰스모어 디렉터는 “아시아 특정지역이 보안에 취약하다는 걸 보여준다”고 말했다.
또한, 웰스모어 디렉터는 “아태지역을 보면 공격을 1번 받은 지역의 91%가 2차로 심각한 공격을 받았다”며 “한번 공격을 했다 하더라도 또다시 돌아온다는 사실이 중요하다”고 지적했다. 따라 “예방뿐만 아니라 신속하게 대응하는 게 더 중요하다”고 조언했다.
