북한 정부 지원을 받는 것으로 의심되는 공격그룹이 한국 정부 외교·정치 관련 정보를 수집하기 위한 목적으로 공격을 이어가는 한편, 아르헨티나를 포함한 남미 지역 금융권을 대상으로 금융정보 탈취 공격을 벌이고 있는 것으로 나타났다.
NSHC 레드알럿 CTI 팀의 보고서에 따르면, 이들은 지난해 10월 말에서 11월 말까지 새로운 악성코드 변형을 지속적으로 제작하면서 급변하는 한반도 정세에 대응하기 위한 사이버 스파이 활동을 시도하고 있는 것으로 보인다. 또한 한국 암호화폐 거래소와 암호화폐거래를 하는 개인을 해킹해 금전적 수익을 얻고자 하고 있으며, 남미 금융기관을 대상으로 한 해킹 시도도 발견됐다.
이들은 악성코드를 첨부하는 스피어피싱 공격을 사용하고 있으며, 상용 원격제어 소프트웨어 팀뷰어의 소스코들 기반으로 제작한 새로운 악성코드도 발견됐다.
한편 이 보고서에서는 레드알럿이 추적하는 다른 공격그룹의 동향에 대해서도 자세히 소개하고 있다. 중국정부 지원을 받는 그룹은 일본을 포함한 극동아시아와 베트남을 중심으로 한 동남아시사 지역을 대상으로 한 해킹 활동이 발견됐다. 이들은 MS 오피스의 알려진 코드 실행 취약점을 이용한 스피어피싱 공격을 시도했다.
러시아 정부 지원을 받는 그룹은 유럽과 미국을 대상으로 공격하고 있는데, 2016년 미국 대통령 선거 당시 민주당 해킹 사건과 비슷한 양상을 보이고 있다. 지난해 11월 미국 중간선거 당시에 이 공격이 진행돼 정치적 의도를 의심해 볼 필요가 있다.
이들은 또한 우크라이나, 폴란드를 중심으로 한 동유럽 국가 대상 해킹도 벌였다. 우크라이나와 러시아는 정치적 문제와 천연자원 문제로 갈등을 벌이고 있으며, 최근 러시아 해군이 우크라이나 해군 선박 3척을 나포하면서 분쟁을 키우고 있다.
이러한 배경에서 러시아 배후 공격그룹은 정치적 목적으로 정보를 수집하거나 상대국의 사회 활동을 방해할 목적으로 해킹하고 있는 것으로 보인다.
