“모바일 기기 타깃 공격 증가…새로운 공격그룹 잇달아 등장”
[데이터넷] 아이폰, 아이패드, 맥 등 iOS 기기 사용자가 늘어나면서 이 기기를 타깃으로 한 공격이 급증하고 있다. iOS 기기는 윈도우나 리눅스에 비해 안전하다는 인식 때문에 사용자들이 보안에 소홀하기 쉬워 더욱 위험하다.
카스퍼스키의 ‘2020년 1분기 APT 위협 활동 보고서’에 따르면 중국어를 사용하는 APT 그룹 ‘투세일 정크(TwoSail Junk)’는 홍콩 사용자를 대상으로 원격 iOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했다. 이 공격은 2020년 1월 최초 발견됐으며, 2월에는 윈도우, 리눅스, MacOS로 타깃 기기를 확대했다. 이들은 iOS와 안드로이드 취약점을 이용한 ‘라이트스파이(LightSpy)’ 워터링 홀 공격을 모바일 플랫폼으로 확장하고 있다.
북한 배후의 공격그룹으로 알려진 라자루스는 MacOS를 대상으로 한 ‘애플제우스(AppleJeus)’ 캠페인을 벌이고 있으며, 영국, 폴란드, 러시아, 중국 등에서 피해가 발생했으며, 암호화폐 관련 조직에서 피해가 발생하고 있는 것으로 보인다.
이탈리아 보안회사 텔시(Telsy)는 지난해 라자루스가 암호화폐 관련 악성코드를 배포하고 있다고 분석했으며, 카스퍼스키는 이 공격 캠페인을 추가 분석한 결과 마누스크립트(Manuscrypt) 변종을 발견해냈다. 이 악성코드는 올해 초 까지 키프로스, 미국, 대만, 홍콩의 암호화폐 관련 사업을 공격해왔다.
모바일 기기 공격도 위험 수위를 높이고 있다. 로밍 맨티스(Roaming Mantis)는 iOS와 안드로이드 사용자를 대상으로 공격하고 있으며, 27개 언어를 지원해 전 세계에서 활동하고 있다. 암호화폐 탈취 및 채굴 공격을 이어가고 있으며, 택배 위장 APK 배포를 통해 한국, 일본, 대반, 러시아 등을 집중 공격하고 있다.
코로나바이러스감염증-19(COVID-1APT 그룹, 코로나19 이슈 악용 공격 이어가9) 이슈를 악용한 공격이 APT 공격집단을 중심으로 광범위하게 퍼지고 있는데, 이들은 금전 수입을 목적으로 피싱 사이게 몰두하고 있다. WHO, 인도주의 단체로 위장해 공격을 펼치고 있으며, 때로 이 단체를 표적으로 공격하기도 한다.
특히 북한 기반 공격그룹 라자루스, 킴수키 등이 활발하게 활동하고 있으며, 아시아의 유명 휴양지 호텔 네트워크를 감염시켜 호텔에 숙박하는 정·재계 유명인사에 대한 스파이 활동을 벌여온 다크호텔 공격그룹도 지속적으로 활동을 이어가고 있다.
킴수키는 지난해 마이크로소프트로부터 소송을 당하기도 했는데, 킴수키가 마이크로소프트 위장 도메인 50여개를 공격에 사용했다는 이유로 미국 버지니아 법원에 고소했다. 그럼에도 불구하고 킴수키는 여전히 활발한 공격을 펼치고 있는데, 올해 초 유명 배우의 새해 인사를 주제로 한 미끼 이미지를 사용해 스파이 활동을 벌였다.
카스퍼스키는 최근 활동을 시작한 새로운 공격그룹 ‘빅셔스판다(ViciousPanda)’가 다크호텔과 연관되어 있을 가능성이 있다고 분석했다. 또한 카스퍼스키는 중국 기반 공격 그룹 캑터스피티(CactusPete) 등 새로운 공격그룹도 등장해 활동하고 있다고 보고했다.
카스퍼스키는 APT 공격그룹이 동남아시아 지역을 집중 공격하고 있다는 사실을 강조했다. 퍼니드림(FunnyDream)의 경우 말레이시아, 필리핀, 베트남을 대상으로 공격하고 있다. 보고서에서는 또한 모바일 사용자를 대상으로 하는 사이버 스파이 ‘팬텀랜스(PhantomLance)’ 공격이 동남아시아 지역을 대상으로 집중 발생하고 있다고 전했다.
빈센트 디아즈 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 선임 보안 연구원은 “코로나 팬데믹 기간에도 APT 활동은 멈추지 않았다. 일부 조직은 현 사태를 다양한 방식으로 이용했다. 당분간 의료 기관은 공격하지 않겠다고 발표해서 좋은 이미지를 만들고자 시도한 경우도 있었다. 그럼에도 불구하고 카스퍼스키의 분석 결과 금전적 이득과 지정학적 요인이 여전히 APT 공격의 가장 큰 동기로 나타난다. 특히 최근 2년 동안 새롭게 등장하여 계속 유지되면서 존재감을 굳히고 있는 조직들의 경우 더욱 그렇다”고 말했다.
그는 이어 “창의적인 방법을 무기로 새로운 조직이 부상하고 있고 기존의 유명 조직은 더욱 잡아내기 어려워진 가운데 모바일은 새로운 공격의 견인차 역할을 하고 있다. 이는 우리 모두가 겪고 있는 시대적 변화의 결과다. 알려진 위협은 물론 알려지지 않은 위협으로부터 기업과 사용자를 보호하는 것은 매우 중요한 일”이라고 강조했다.
