한국을 포함한 아시아지역에서 지능형지속위협(APT) 활동과 신종 보안위협 해킹 조직이 급증했다는 분석이 나왔다.
카스퍼스키랩 연구진은 2018년 1분기 위협인텔리전스 요약보고서를 통해 이같은 추세를 확인할 수 있었다고 17일 밝혔다.
연구진은 아시아를 기반으로 새 APT활동이 급증했음을 발견했다. 보고서에 파악된 보안위협 활동 30% 이상이 아시아 지역에 쏠려 있었다고 지적했다. 해킹 활동이 가장 몰린 곳은 중동 지역이었다. 여기서 해커들이 다양한 신종 기법을 사용하는 동향이 관찰됐다.
연구진은 러시아어, 중국어, 영어, 한국어 기반 APT 해킹 조직 사이버활동이 지속 탐지됐다고 설명했다. 유명 해킹조직은 주목할만한 활동을 보이지 않았다. 반면 APT 활동과 신종 보안위협 해킹 조직은 아시아지역에서 급증했다. 평창올림픽 시스템 장애를 유발한 올림픽파괴자(Olympic Destroyer) 악성코드 공격 사례도 이런 활동 증가 일환으로 보인다고 덧붙였다.
연구진은 중국어 기반 공격활동이 지속 증가했다는 점, 남부 아시아지역에서 기록된 APT 활동, 몽골 정부 기구를 공격하는 APT 활동, 한국 지역을 겨냥한 공격 활동 등을 보고서 주요 내용으로 소개했다.
중국어 기반 활동 증가 사례 하나로 섀기팬서(ShaggyPanther)가 언급됐다. 이 조직은 대만과 말레이시아 정부기관을 대상으로 공격 활동을 벌였다. 카디널리자드(CardinalLizard)도 언급됐다. 이 조직은 과거 필리핀, 러시아, 몽골 지역에 주력하다가 올해부터 말레이시아 지역으로 관심을 돌렸다.
남부아시아 지역 APT활동은 파키스탄 군사기관을 공격한 사이드와인더(Sidewinder) 사례였다. 몽골 정부 기구를 공격한 그룹은 아이언허스키(IronHusky) APT였다. 이 조직도 중국어 기반 활동 사례로, 지난 1월말 국제통화기금(IMF)과 회담을 앞둔 몽골 정부 기구를 공격했다. 기존의 활동은 러시아 군사조직을 대상으로 하고 있었다.
한국 지역을 겨냥한 활동을 벌인 조직은 킴수키(Kimsuky) APT와, 라자루스(Lazarus)의 일원으로 언급된 블루노로프(Bluenoroff)가 꼽혔다. 킴수키APT는 한국 전문가 집단과 정치 기관을 주로 공격하는 조직으로 소개됐다. 이들은 스피어피싱공격에 사이버스파이 활동에 적합하게 설계된 프레임워크를 사용했다고 평가됐다. 블루노로프는 공격 방향을 암호화폐 업체와 POS 등으로 틀었다.
연구진은 이밖에 '스트롱피티(StrongPity) APT'같은 조직을 중동 지역에 몰린 보안위협 활동 주체 중 하나로 소개했다. 이들은 인터넷서비스제공업체(ISP) 네트워크를 겨냥해 새로운 중간자공격(MiTM)을 시도했다. 사이버범죄조직 데저트팰컨(Desert Falcons)은 안드로이드 기기를 노린 활동에 지나 2014년에 쓴 악성 코드를 재사용했다.
관련기사
- 시스코 보안전문 조직 탈로스는?2018.04.17
- 한국 집중 공격한 랜섬웨어 복호화 툴 등장2018.04.17
- 소닉월 " 2017년 멀웨어 공격 93억 2000만건"2018.04.17
- "美 금융사 위협정보공유 포럼, 피싱공격 당해"2018.04.17
연구진은 1분기중 라우터 및 네트워킹 하드웨어 대상으로 정기적인 공격을 수행한 여러 조직을 발견했다. 연구진들은 그 활동을 레진(Regin) 및 클라우드아틀라스(CloudAtlas)같은 해킹조직의 접근방식과 연관지었다. 피해자 인프라에 공격기반을 마련하기 위해 라우터를 노리는 추세는 앞으로 계속될 것이라고 내다봤다.
이창훈 카스퍼스키랩코리아 대표는 "신종 보안위협 조직은 전반적으로 흔하고 얻기 쉬운 악성코드 도구를 사용하고 있었다"며 "유명 해킹조직의 활동은 두드러지지 않았는데, 향후 공격을 위해 전략을 새로 수립하고 조직을 재정비하는 것으로 추정한다"고 말했다.
