일본 미쓰비시전기 해킹…군·방위산업 정보 유출 가능성 제기
상태바
일본 미쓰비시전기 해킹…군·방위산업 정보 유출 가능성 제기
  • 김선애 기자
  • 승인 2020.01.22 11:54
  • 댓글 0
이 기사를 공유합니다

중국 해커 ‘틱’, 일본 국방·에너지 주요 인사 정보 탈취 가능성 있어
틱, 한국 주요 기관 공격 시도한 적 있어…주요 기관 노리는 공격 위험

[데이터넷] 일본 미쓰비씨전기가 중국 기반 해킹 조직으로 의심되는 ‘틱(Tick)’의 공격을 받아 민감정보를 유출당했다는 사실이 알려졌다. 일본은 도쿄 올림픽을 앞두고 있어 국가기반 공격과 지능적인 APT 공격을 당할 위험이 높은 상황이다.

최근 세계 정세가 요동치면서 국가기반 사이버 스파이 활동이 활발하게 진행되고 있으며, 국가 주요 시설과 방위산업체 침해 사고가 잇따르고 있어 미쓰비씨전기 해킹 사고에도 많은 관심이 쏠리고 있다.

전현직 임직원 8000명 정보 탈취

보안 기업의 분석 보고서와 외신 보도를 종합하면 미쓰비씨전기는 지난해 6월 국내외 영업장과 본사 14개 부서 120대 이상 컴퓨터와 40대 이상 서버에서 해킹 흔적이 발견돼 조사를 시작했다. 미쓰비씨전기는 방위성, 환경성, 내각부, 원자력규제위원회, 자원에너지청 등 일본 주요 기관과 통신, 철도, 자동차 등 주요 기업의 사업을 진행하고 있다.

이에 보안업계에서는 일본 방위 기술과 관련된 정보나 중요한 사회 인프라에 관한 데이터가 유출됐을 가능성을 제기하고 있지만 미쓰비씨전기는 비즈니스 파트너와 방위계약과 관련한 정보에는 공격자가 접근하지 않았다고 주장했다.

조사 결과에 따르면 공격자들은 8000명 이상의 전현직 직원, 2011년부터 2020년 4월까지 지원한 구직자 정보에 접근했으며, 이름, 생년월일, 전화 번호 등의 데이터가 침해됐을 가능성이 있다. 피해자 중에는 국방, 에너지, 운송 및 통신 부문 종사자들도 대거 포함됐으며, 국방부, 원자력 규제위원회, 자연·에너지 기관이 포함된다.

▲틱 공격 타임라인(출처: 트렌드마이크로)
▲틱 공격 타임라인(출처: 트렌드마이크로)

일본 기업 중국 자회사 통해 공격 시작

지난해 11월 ‘틱 공격그룹’에 대한 분석 보고서를 발표한 트렌드마이크로에 따르면 이들은 스피어피싱을 통해 방위, 항공우주, 화학, 위성산업 등의 주요 산업을 공격한다.

지난해 1월 일본경제연구기관과 홍보대행사를 공격한 바 있는데, 이메일의 자격증명을 탈취해 정상 사용자로 위장하고, ‘임금인상’ 직업시장‘ 등으로 위장한 악성 첨부파일을 이용해 공격했다. 이들은 일본어나 중국어에 능통한 것으로 보이는데, 당시 공격은 중국 경제에 관심있는 개인과 회사를 상대로 한 것이었다.

이들은 중국에 자회사가 있는 일본 조직을 통해 공격을 확장시킨 것으로 보인다. 중국 자회사 PC에 최초 감염이 시작됐으며, 이를 실행한 일본 직원의 공유 폴더에서 악성파일이 전송된 것이 발견됐다.

이들은 지난해 5월부터 본격적으로 군, 화학산업, 방위산업 등을 목표로 공격을 진행했으며, 방위 관련 기밀정보를 누리는 중국계 해커집단일 것으로 추정되는 다양한 침해지표를 갖고 있었다.

한편 SK인포섹은 이들이 한국의 공공·민간기업도 공격했다고 밝히며, 소프트웨어 제품의 취약점을 이용하거나, 보안 시스템을 우회하는 등 다양한 공격 기법을 사용하고 있다고 설명했다. SK인포섹 보안전문가그룹 이큐스트(EQST)는 글로벌 사이버위협연합(CTA)과 공유한 해킹 정보, 시큐디움 인텔리전스 데이터베이스에 축적된 정보를 활용했다. 여기에 침해사고대응팀의 포렌식 분석까지 더해져 틱 해킹조직의 공격 흔적으로 특정했다.

김성동 SK인포섹 침해사고대응팀장은 “그동안 틱 해킹그룹이 국내 공공기관, 방위산업체, 제조기업, IT기업 등을 대상으로 공격을 시도한 사례가 있다”며 “이번 미쓰비시전기 해킹 사건을 계기로 다시 한번 경각심을 갖고 해킹 공격에 대비해야 할 것”이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.