카스퍼스키랩 “1분기, 중동지역에 사이버 공격 집중”
상태바
카스퍼스키랩 “1분기, 중동지역에 사이버 공격 집중”
  • 김선애 기자
  • 승인 2018.04.17 15:58
  • 댓글 0
이 기사를 공유합니다

전체 공격 30% 아시아에서 발생…러시아어·중국어·영어·한국어 기반 해킹 활동 지속적으로 탐지

중동 지역이 사이버 공격의 최대 위험 지대로 꼽혔다. 카스퍼스키랩이 1분기 위협 동향을 분석한 결과, 해킹 활동이 가장 몰린 곳이 중동지역으로, 해커들이 다양한 신종 기법을 사용하는 것이 관찰됐다. 또한 아시아 기반 APT 활동이 급증하고 있는 정황도 발견됐는데, 30% 이상이 이 지역의 보안위협 활동에 몰려 있었다.

특히 러시아어, 중국어, 영어, 한국어 기반 APT 해킹 조직의 사이버 활동이 지속적으로 탐지됐으며, 유명 해킹 조직에서 주목할 만한 활동을 보이지 않은 반면 APT의 활동과 신종 보안위협 해킹 조직이 아시아 지역에서 급증했다. 평창 올림픽을 노린 올림픽 디스트로이어(Olympic Destroyer) 악성 코드 공격이 발생했던 것도 이러한 활동 증가의 일환이었던 것으로 보인다.

▲‘올림픽 디스트로이어’와 ‘블루노로프’ 공격에서 동일한 소스가 발견됐다.

보고서에서는 중국어 기반 공격 활동이 지속적으로 증가하고 있다고 설명했다. 섀기팬더(ShaggyPanther)의 공격 활동은 대만과 말레이시아 정부 기관을 대상으로 하며 카디날리자드(CardinalLizard)는 필리핀, 러시아, 몽골에 주력하다가 2018년에는 말레이시아로 관심을 돌린 것으로 보인다.

남부 아시아 지역 중 파키스탄 군사 기관이 사이드윈더(Sidewinder)의 공격을 받았으며, 러시아 군사 조직에 대한 공격을 멈추고 몽골에 전력투구하는 것으로 보이는 아이언허스키 APT(IronHusky APT)도 발견됐다. 1월 말 발견된 이 공격은 IMF 회담을 앞둔 몽골 정부 기구에 대해 공격했다.

한국의 전문가 집단과 정치 기관을 주로 공격하는 킴수키(KimSuky )APT는 사이버 스파이 활동에 적합하도록 설계한 완전히 새로운 프레임워크를 스피어 피싱 공격에 사용하며 전열을 새롭게 가다듬었다. 뿐만 아니라 악명 높은 라자루스(Lazarus)의 일원인 블루노로프(Bluenoroff)는 방향을 돌려 암호화 가상화폐 기업과 POS 등을 새로운 공격 대상으로 삼고 있다.

카스퍼스키랩은 중동 지역에 보안위협 활동이 가장 많이 몰려 있는 것을 탐지했다. 예를 들어 스트롱피티(StrongPity) APT는 ISP 네트워크에 대해 신종 중간자 공격(MiTM)을 시도했다. 고도의 기술력을 지닌 사이버 범죄 조직 데저트 팔콘(Desert Falcons)도 2014년에 사용하던 악성 코드를 사용하여 다시 안드로이드 기기를 노리기 시작했다.

그 외에도 카스퍼스키랩 연구진은 1분기에 다수의 조직이 라우터 및 네트워킹 하드웨어를 대상으로 정기적인 공격을 펼치는 것을 발견했는데, 이는 여러 해 전 레진(Regin), 클라우드아틀라스(CloudAtlas)와 같은 해킹 조직이 사용했던 접근방식이다. 전문가들은 피해자의 인프라에 공격 기반을 마련하기 위해 라우터를 노리는 추세는 앞으로도 계속 될 것으로 전망하고 있다.

이창훈 카스퍼스키랩코리아 지사장은 “1분기 3개월 동안 기술 수준이 다양한 수많은 신종 보안위협 조직이 눈에 띄었다. 이들은 가장 흔하고 손에 넣기 쉬운 악성 코드 도구를 사용하고 있다. 그에 반해 유명 해킹 조직에게서는 두드러진 활동이 관찰되지 않았다. 기존의 알려진 조직은 향후 공격을 위해 공격 전략을 새로 수립하고 조직을 재정비하고 있는 것으로 추정하고 있다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.