[데이터넷] 러시아 통신기업 로즈텔레콤이 소유한 사이버 보안 회사 솔라(Solar)가 러시아를 타깃으로 하는 국가기반 공격은 대부분 북한과 중국에서 시작됐다고 주장해 주목된다.

솔라가 지난주 발표한 보고서에 따르면 전체 사이버 사고의 20%가 고급 APT였으며, 주로 중국과 북한 배후 그룹에 의한 공격이 많았다. 이들은 오랫동안 인프라에 숨어서 활동해왔으며, 공격 흔적을 지우면서 추적을 회피한 것으로 분석됐다. 이들은 통신·공공 부문을 대상으로 사이버 첩보와 데이터 수집 활동을 해 온 것으로 알려진다.

중국 기반 공격자들은 사이버 스파이 활동을 벌여왔으며, 9월에는 러시아 기관에 매일 20~40개의 멀웨어를 감염시켰다. 북한은 라자루스의 활동이 주를 이룬 것으로 알려진다. 보고서에서는 러시아와 전쟁 중인 우크라이나 배후 공격조직을 식별하는 것은 매우 어렵지만, 간접 증거를 기준으로 탐지한 사례가 많다고 설명했다. 그 중 하나가 Pupy RAT 개방형 프레임워크를 사용한 악성 메일로, 통신사업자 한 곳의 인프라 일부를 파괴했다고 밝혔다.

해커의 영향을 가장 많이 받는 산업은 정부 기관(44%), 통신(14%), 농업(9%)이며, 현재 조사하고 있는 사건은 대부분 사이버 사기와 관련있다고 솔라는 밝혔다. 사이버 사기꾼은 랜섬웨어와 훔친 데이터를 재판매하면서 돈을 벌고 있으며, 올해 전년대비 30% 증가했다고 설명했다. 이들은 수익성을 더 높이기 위해 다크넷에 데이터를 판매하기보다 데이터를 무료로 공개한다고 협박하거나 영구 암호화하고 있다.

한편 솔라의 이 보고서가 러시아 사이버 보안 당국의 입장과 배치되는 내용도 포함돼 있어서 보고서 공개 배경에 주목되고 있다. 러시아 정부는 러시아 타깃 공격에는 서방국가가 배후에 있다고 주장하고 있기 때문이다.

이전에 중국과 북한 배후 공격자가 러시아를 타깃으로 공격하고 있다는 보고서가 발표되기도 해 솔라의 주장에는 상당한 근거가 있는 것으로 보인다. 이스라엘 보안기업 체크포인트는 지난해 중국 배후 해킹그룹 트위트티드 판다(Twisted Panda)가 러시아 국영 국방기관을 공격했다고 공개했으며, 미국의 보안기업 센티넬원은 라자루스가 러시아 미사일 엔지니어링 조직에 침투했다고 밝힌 바 있다.

솔라 보고서에서는 “공격자의 목표가 디도스, 데이터 유출과 망신주기에서 중요 정보 인프라 해킹과 파괴로 바뀌고 있다. 내년에는 파괴적인 공격이 더 늘어날 것이며, 해커들이 러시아 소프트웨어 취약점을 이용한 공격을 벌일 것”이라고 예상했다.

김선애 기자 다른기사 보기