지난해 미국 해킹 잡지 '프랙(phrack)'을 통해 한국 정부를 대상으로 한 국가 배후 지능형 지속 공격(APT) 세력이 은밀하게 공격을 이어왔던 사실이 밝혀졌다. 이런 가운데 지난해 가장 많은 국가 배후 해킹 조직을 갖고 있는 곳은 중국으로 집계돼 관심이 모아졌다.
중국을 비롯해 가장 많은 국가 배후 해킹 조직을 둔 '톱3' 국가가 전 세계의 45%나 차지하는 것으로 나타났다. 공격 빈도 상위 10개국이 차지하는 공격 비중이 전년 대비 22% 감소했음에도 이같은 비중을 차지했다.
글로벌 자산 가시성 및 보안 전문 기업 포스카우트(Forescout Technologies)의 보안 연구소 '베데레 랩스(Vedere Labs)'는 최근 이같은 내용을 골자로 한 '2025 위협 결산(2025 Threat Roundup)' 보고서를 발표했다.
보고서에 따르면 지난해 기준 전 세계에서 활성화된 국가 배후 해킹 조직 개수를 종합한 결과, 중국이 210개로 가장 많았고, 이어 러시아(112개), 이란(55개) 등 순으로 많았다. 북한도 이들 뒤를 이어 상위 5개국 내에 지속적으로 이름을 올리고 있다고 보고서는 밝혔다.
이같은 국가 배후의 APT 세력은 한국 정부를 대상으로도 공격을 서슴지 않았다. 실제 정부 공무원 업무관리 시스템인 '온나라 시스템'이 약 3년간 해킹에 노출되기도 했으며, 이런 내용이 프랙의 APT 관련 보고서에 포함됐다. 프랙 APT 보고서에는 당초 'KIM'이라는 중국 혹은 북한의 지원을 받는 공격 세력이 한국 공공부문을 지속해서 공격해 왔다는 내용이 담겨 있다. KIM이 어떤 국가의 지원을 받는지는 특정되지 않았으나, 중국어를 사용했다는 점 등으로 보아 중국 연계 가능성이 유력하게 점쳐지고 있다.
관련기사
- 카스퍼스키 "APT 그룹, 아태 지역 국가 기밀 노린다”2025.08.28
- 中 지원 받는 'APT41' 사이버 공격 심화…피해 산업·국가는?2024.07.26
- 과기정통부, APT 장관회의 참석...AI 디지털 정책 공유2025.05.30
- 국민의힘, 작년 민관 해킹 사고 국정조사 요구2026.01.08
베데레 랩스는 보고서를 통해 "국가 배후 조직들이 자신들의 정체를 숨기기 위해 미국이나 네덜란드 등 선진국의 ISP(인터넷 서비스 제공자)나, 아마존, 구글 같은 정상적인 클라우드 서비스를 경유지로 활용하고 있다"며 "이는 국가 배후 조직들이 탐지망을 피하기 위해 대형 기술 기업의 신뢰를 무기화하고 있음을 시사한다"고 강조했다.
특히 이같은 APT 그룹들은 알려진 취약점이 아니라 공개되지 않은 취약점을 선제적으로 활용할 만큼 공격 기술이 뛰어난 것으로 나타났다. 이에 보고서는 "국가 차원의 기반 시설 보호를 위해 모든 연결 자산에 대한 가시성 확보와 제로 트러스트(Zero Trust) 아키텍처 도입이 그 어느 때보다 시급하다"고 제언했다.
