세계적으로 악명 높은 금융 사이버 공격 그룹 라자루스와 한국수력원자력을 해킹한 킴수키 공격그룹이 우리나라를 타깃으로 공격을 이어가고 있는 것으로 나타났다. 특히 이들은 암호화폐 거래소와 개인을 공격하고 있으며, 암호화폐 사업을 겨냥한 백도어 제품을 이용해 공격하고 있다.
카스퍼스키랩 ‘2019년 1분기 APT 동향 보고서’에 따르면 카스퍼스키랩이 지난해 발표한 ‘애플제우스 작전 분석 보고서’에서 라자루스가 맥OS를 공격하는 새로운 기능을 개발해 애플 고객을 겨냥한 맥용 악성코드를 개발했다고 발표했다. 또한 국내 암호화폐 거래소를 공격하는 그룹 중에는 킴수키 그룹도 있다고 설명했다.
이 보고서에서는 공급망을 이용해 광범위하게 전파되는 ‘섀도우해머’ 공격에 대해 경고했으며, 1분기 동남아시아 타깃 APT 공격이 눈에 띄게 늘어났다는 점을 강조했다. 최근 동남아시아는 정칙적으로 매우 큰 혼란을 겪고 있으며, 이를 노린느 해킹 조직과 공격이 그 어느 지여곱다 많았다.
반면 러시아어를 구사하는 조직의 활동은 최근 몇 년과 비교하면 크게 눈에 띄지 않았다. 조직을 재정비하는 휴식기인 것으로 추측되지만 그럼에도 불구하고 꾸준한 활동과 소파시와 튤라에 의한 악성코드 유포가 이어지고 있다.
중국어를 구사하는 공격자는 지속적으로 활발한 활동을 벌이고 있으며 공격의 종류에 따라 낮은 수준의 기법과 높은 수준의 기법이 모두 드러난다. 대표적인 예로 2012년부터 활동 중이며 카스퍼스키랩에서는 ‘캑터스페티(CactusPete)’라고 알려진 그룹이 있다. 이 그룹은 1분기에 다운로더와 백도어의 새로운 변종과 다크호텔 그룹에서 사용한 VB스크립트 제로데이를 리패키징한 버전 등 신종 악성 도구와 기존 악성 도구의 업데이트를 이용한 것으로 관찰됐다.
정부 기관이나 단체에서 이용하는 상용 악성코드를 판매하는 비즈니스가 성행한 것으로 보인다. 실제 피해로 이어지지는 않았지만 핀스파이의 새로운 변종과 럭키마우스 공격에서 해킹팀에서 유출된 도구를 배포한 것이 카스퍼스키랩 연구진에 의해 관찰됐다.
이창훈 카스퍼스키랩코리아 지사장은 “한 분기 APT 공격을 결산할 때마다 항상 놀랍다는 생각이 든다. 이번 분기에는 정교한 공급망 공격, 암호화폐에 대한 공격 및 정치 외교적 문제로 인한 공격이 주로 눈에 띄었다”며 “카스퍼스키랩에서 모든 위협을 관측할 수 있는 것은 아니지만, 오늘 탐지하지 못했다 해도 언젠가는 탐지할 수 있다. 미래에도 걸리지 않는다는 법은 없습니다. 알려진 위협과 알려지지 않은 위협에 대한 보호는 앞으로 모든 이들에게 아주 중대한 과제로 남을 것”이라고 말했다.
