[주요 사이버 공격 그룹⑤] 공격자 놀이터 ‘아시아’
상태바
[주요 사이버 공격 그룹⑤] 공격자 놀이터 ‘아시아’
  • 김선애 기자
  • 승인 2018.07.05 08:31
  • 댓글 0
이 기사를 공유합니다

아시아 신흥국, IT 발전 빠르지만 보안 투자 소홀…10년 이상 활동하는 사이버 스파이도 발견

7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>

중국의 새로운 타깃, 인도·홍콩

중국과 미국은 오랜 기간 사이버 전쟁을 벌여왔다. 미국은 중국의 네트워크·보안장비에 스파이웨어가 몰래 설치돼있다고 폭로하며 정부 주요 기관에 중국산 IT 기기 사용을 전면 금지시키기도 했으며, 중국은 미국 역시 중요 IT 기기에 백도어를 심어 중요정보를 탈취해갔다고 반박하면서 미국 정보기관이 해킹툴을 만들어 전 세계를 해킹했다고 폭로하기도 했다.

양국의 공방전은 2015년 9월 시진핑 주석과 오바마 대통령의 합의에 따라 중단됐다. 실제로 이 협약 후 미-중간 사이버 공격은 상당부분 줄어든 것으로 분석된다. 중국은 미국 대신 아시아의 다른 국가들을 새로운 타깃으로 하는 정황이 포착된다. 더불어 클라우드 사업자나 로펌 등 서비스를 제공하는 미국 업체를 타깃으로 하는 중국계 공격그룹도 발견되고 있으며, 통신, 의료 기록, B2B 서비스 등에서도 공격이 발견된다.

파이어아이 맨디언트 보고서에서는 중국 기반 APT 그룹의 관심이 중국 글로벌 시장 확장에 방해된다고 여겨지는 국가로 확산되고 있으며, 인도, 홍콩이 그 대상이 되고 있다고 분석하고 있다.

파이어아이가 추적하는 중국 기반 범죄조직인 APT30은 10년 이상 일관성 있게 장기적으로 임무를 수행하고 있는 것으로 알려진다. 여러 범죄조직이 협업하고 있는 것으로 알려지며, 일관성있는 개발 접근 방법을 적용한 공격도구를 사용하고 있고, 악성코드 버전을 체계적으로 분류하고 추적한다. 이들의 목표는 동남아시아 각국 정부에 대한 사이버 스파이 활동이며, 특히 언론기관에 많은 관심을 보이고 있다.

파이어아이는 베트남도 사이버 범죄 배후에 있다고 추정하고 APT32 혹은 ‘오션로터스 그룹(OceanLotus Group)’이라는 이름으로 추적하고 있다. 이들은 민간 이해관계를 표적으로 하고 있으며, 베트남의 제조, 소비자 제품, 컨설팅 및 숙박시설 부문에 투자하는 외국 기업을 대상으로 스파이 활동을 한다. 또한 이들은 베트남 정부 반체제 인사와 언론인도 사이버 사찰 대상으로 삼았다.

▲중국 국경 문제와 관련된 주제에 대한 APT30 미끼 문서(자료: 파이어아이)

 

해커들의 놀이터 된 아시아 신흥국가

남미와 동남아시아 정부를 겨냥한 공격그룹 ‘소우버그(Sowbug)’도 주의 깊게 살펴봐야 할 집단이다. 시만텍에 따르면 이들은 동성애 지역 대상으로 ‘Felismus’라는 새로운 악성코드를 사용해 공격했다. 이들은 남미와 아시아태평양지역 정치·사회적 목적으로 스파이 활동을 전개하는 것으로 보이며, 시스템을 파괴하는 공격 시도도 발견됐다.

최근 아시아가 사이버 공격이 집중되는 대륙으로 급부상하고 있다. 아시아 신흥국가들이 빠르게 경제발전을 하고 있어 상대국 혹은 상대 기업의 기밀정보를 탈취하기 위한 목적으로 공격을 진행하는 것이다. 특히 아시아 신흥국은 IT에 많은 투자를 하고 있지만 성장에 급급한 나머지 보안에는 신경을 쓰지 않아 쉽게 공격 목적을 달성할 수 있다.

카스퍼스키랩은 아시아 지역 스마트폰을 노리는 DNS 하이재킹 공격 ’로밍 맨티스(Roaming Mantis)‘를 분석했다. 이 공격은 금전적 이득을 목적으로 하는 한국어 또는 중국어 기반 범죄집단에 의해 자행되는 것으로 보인다. 초기 이 공격의 타깃은 한국, 방글라데시, 일본 등이며, 한국어, 중국어 간체, 일본어, 영어를 지원했으며, 나중에는 폴란드어, 독일어 등 27개 언어가 지원됐다.

로밍 맨티스는 취약한 라우터를 찾아내 보안 기능을 손상시키며 감염된 라우터의 DNS 설정을 하이재킹한다. 사용자가 웹사이트에 접근하려고 시도할 때마다 가짜 웹사이트로 연결시키고 ‘검색기능 개선을 위해 크롬 최신 버전 업데이트 하세요’라는 메시지를 띄운다. 사용자가 링크를 클릭하면 트로이목마를 포함한 애플리케이션이 설치되는데 여기에 안드로이드 백도어가 포함된다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.