카스퍼스키랩 연구진은 2018년 1분기 동안 주로 아시아를 기반으로 새로운 APT 활동이 급증한 것을 발견했다.

2018년 1분기 카스퍼스키랩 연구진이 관찰한 바에 따르면 특히 러시아어, 중국어, 영어, 한국어 기반 APT(지능형 지속 공격) 해킹 조직의 사이버 활동이 지속적으로 탐지되었다고 한다. 또한 유명 해킹 조직에서는 주목할 만한 활동을 보이지 않은 반면 APT의 활동과 신종 보안위협 해킹 조직이 아시아 지역에서 급증했다. 평창 올림픽을 노린 Olympic Destroyer 악성 코드 공격이 발생했던 것도 이러한 활동 증가의 일환이었던 것으로 보인다.

2018년 1분기 보고서의 주요 내용은 다음과 같다.

▲중국어 기반 활동의 지속적 증가- 이 중 ShaggyPanther의 공격 활동은 주로 대만과 말레이시아 정부 기관을 대상으로 하며 CardinalLizard는 기존에 필리핀, 러시아, 몽골에 주력하다가 2018년에는 말레이시아로 관심을 돌린 것으로 보인다.

▲남부 아시아 지역에서 기록된 APT 활동- 파키스탄 군사 기관이 새롭게 발견된 Sidewinder의 공격을 받았다.

▲러시아 군사 조직에 대한 공격을 멈추고 몽골에 전력투구하는 것으로 보이는 IronHusky APT의 움직임- 2018년 1월 말 중국어 기반의 IronHusky은 IMF(국제통화기금)와의 회담을 앞둔 몽골 정부 기구에 대한 공격을 이행했다.

▲여전히 관심이 뜨거운 한반도- 한국의 전문가 집단과 정치 기관을 주로 공격하는 KimSuky APT는 사이버 스파이 활동에 적합하도록 설계한 완전히 새로운 프레임워크를 스피어 피싱 공격에 사용하며 전열을 새롭게 가다듬었다. 뿐만 아니라 악명 높은 Lazarus의 일원인 Bluenoroff는 방향을 돌려 암호화 가상화폐 기업과 POS 등을 새로운 공격 대상으로 삼고 있다.

또한 카스퍼스키랩은 중동 지역에 보안위협 활동이 가장 많이 몰려 있는 것을 탐지했다. 예를 들어 StrongPity APT는 ISP(인터넷 서비스 제공 업체) 네트워크에 대해 신종 중간자 공격(MiTM)을 시도했다. 고도의 기술력을 지닌 사이버 범죄 조직 Desert Falcons도 2014년에 사용하던 악성 코드를 사용하여 다시 안드로이드 기기를 노리기 시작했다.

그 외에도 카스퍼스키랩 연구진은 1분기에 다수의 조직이 라우터 및 네트워킹 하드웨어를 대상으로 정기적인 공격을 펼치는 것을 발견했는데, 이는 여러 해 전 Regin 및 CloudAtlas와 같은 해킹 조직이 사용했던 접근방식이다. 전문가들은 피해자의 인프라에 공격 기반을 마련하기 위해 라우터를 노리는 추세는 앞으로도 계속될 것으로 전망하고 있다.

카스퍼스키랩코리아의 이창훈 지사장은 “1분기 3개월 동안 기술 수준이 다양한 수많은 신종 보안위협 조직이 눈에 띄었다. 이들은 전반적으로 가장 흔하고 손에 넣기 쉬운 악성 코드 도구를 사용하고 있었다. 그에 반해 유명 해킹 조직에게서는 두드러진 활동이 관찰되지 않았다. 즉 기존의 알려진 조직은 향후 공격을 위해 공격 전략을 새로 수립하고 조직을 재정비하고 있는 것으로 추정하고 있다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★