2024-03-28 18:20 (목)
"북한 해킹그룹 'APT37', 제로데이 취약점으로 남한 타깃 공격 지금도..."
상태바
"북한 해킹그룹 'APT37', 제로데이 취약점으로 남한 타깃 공격 지금도..."
  • 길민권 기자
  • 승인 2018.04.05 20:49
이 기사를 공유합니다

파이어아이 웰스모어 디렉터 "북한 배후 해킹그룹 3개...화해 분위기에도 공격은 계속"

▲ 북한 정부 지원 해킹그룹 'APT37'에 대한 파아이아이 분석 내용 일부.
▲ 북한 정부 지원 해킹그룹 'APT37'에 대한 파아이아이 분석 내용 일부.
파이어아이는 5일 삼성동 그랜드 인터컨티넨탈 서울 파르나스 호텔에서 1,000여 명의 보안실무자들이 참석한 가운데 '사이버 디펜스 라이브 서울'을 개최했다. 이 가운데 기자간담회를 열고 국내 주요 기관을 타깃으로 공격을 하고 있는 북한의 사이버 공격 그룹 'APT37'에 대한 연구 결과와 ‘2018 M-트렌드 보고서'를 공개하는 시간을 가졌다.

이 자리에서 팀 웰스모어 아태지역 위협정보분석 디렉터는 "글로벌 사이버 공격 트렌드를 이해하려면 글로벌 인텔리전스 역량이 필요하다. 파이어아이는 최선전에서 공격 그룹들을 추적하고 있으며 그들의 움직임을 통해 향후 위협 방향에 대한 예측 정보들을 내놓고 있다"며 "2016년 랜섬웨어에 대한 경고도 그랬고 2017년 2월 북한이 글로벌 금융시스템을 공격할 것이란 예측도 적중했다. 또 워너크라이와 북한의 연관성을 분석해 미리 공격을 예측한 바 있다. 그 이유는 공격자들에 대한 글로벌 인텔리전스 정보를 갖고 추적을 계속 하고 있기 때문이다"라고 설명했다.

이어 'APT37' 혹은 '리퍼(Reaper)' 공격 그룹에 대해 그는 "2017년부터 한국을 타깃으로 정보수집과 민감정보 탈취를 목적으로 지능형 공격을 수행하고 있는 그룹이다. 한편 최근에는 한국을 비롯해 일본, 베트남, 중동 등 여러 국가를 대상으로 은밀히 정보수집을 진행하고 있다. 모두 북한의 국익과 관련된 문제로 공격을 진행하고 있는 것"이라며 "이 조직은 북한 정부가 지원하고 북한에서 활동하는 팀으로 확정할 수 있다"고 밝혔다.

특히 한국을 대상으로 방위산업체를 비롯해 북한 관련 커뮤니티, 학회, 사이트, 미디어 등을 주요 타깃으로 공격하고 있으며 일반 대중을 상대로 토렌트 등을 통해 악성코드 유포 작업도 진행하고 있다고 했다.

또한 한글 제로데이 취약점을 활용해 개인이나 기관을 타깃으로 공격하고 스스로 제로데이 취약점을 찾아내 공격할 수 있는 고도의 역량도 갖추고 있다고 전했다.

그는 "2017년 11월 'APT37'은 자신들이 발견한 어도비 제로데이 취약점을 활용해 한국을 공격한 바 있다. 그들의 실력이 결코 만만치 않다는 것을 알 수 있는 부분이다"라며 "하지만 제로데이 취약점을 구매해서 사용하기는 쉽지 않을 것이다. 북한은 고립된 국가로 취약점을 구매하기 위한 복잡한 과정을 통과하기가 쉽지 않기 때문이다"라고 설명했다.

또 그는 북한의 사이버공격 그룹이 몇 개나 되냐는 질문에 "몇 개의 그룹이 북한 정부가 지원하는 그룹인지 특정하기는 힘들다. 공격의 형식과 방법들이 다양하기 때문에 이름을 붙여 특정할 수 있는 그룹을 파악하는 것은 힘든 일이다. 다만 북한 배후에 3개 정도 해커그룹이 있다는 것은 확인할 수 있었다"고 말했다.

이어 "최근 남한과 북한이 긴장 관계 해소를 위해 노력하고 있지만 그 긴장완화 분위기와 사이버 공격은 별개로 봐야 한다. 정치적 상황이 좋아지더라도 공격이 줄었다고 생각하면 안된다. 지난 25년 간 호주 정부에서 사이버보안 업무를 해 왔다. 하지만 평화 시기에도 사이버 첩보활동은 줄어들지 않았다. 물론 긴장관계에서는 더욱 심하지만 이런 남북 화해 분위기에서도 북한발 공격은 지속 될 것"이라고 강조했다.

▲ 공격자들의 체류시간(Dwell time)이 글로벌 평균에 비해 아태지역이 상당히 높게 조사됐다. 보안성숙도가 상대적으로 떨어지고 있다고 지적하고 있다.
▲ 공격자들의 체류시간(Dwell time)이 글로벌 평균에 비해 아태지역이 상당히 높게 조사됐다. 보안성숙도가 상대적으로 떨어지고 있다고 지적하고 있다.
파이어아이는 또 이번 간담회에서 지난 2017년 맨디언트(Mandiant) 조사를 통해 확인한 통계와 인사이트를 담은 ‘2018 M-트렌드 보고서(M-Trends 2018)’ 일부 내용을 발표했다.

▲ 파이어아이 ‘2018 M-트렌드 보고서(M-Trends 2018)’ 내용.
▲ 파이어아이 ‘2018 M-트렌드 보고서(M-Trends 2018)’ 내용. 체류시간이 아태지역이 가장 길다.
파이어아이 팀 웰스모어 디렉터는 "아시아 태평양 지역 기관의 네트워크에 공격자들이 평균 체류 시간으로 498일이나 머물렀다는 사실을 밝혔으며, 이는 글로벌 평균 체류 시간인 101일의 약 5배에 이른다. 아태지역의 보안역량 업그레이드가 시급하다"며 또 "아태지역 기관은 다수의 공격자로부터 여러 건의 피해를 당한 경험이 유럽, 중동, 아프리카 지역, 또는 북미 지역과 비교했을 때 두 배나 많았다. 한 번 이상 심각한 공격 시도를 당한 아시아 태평양 지역의 파이어아이 고객사 중 91%가 동일하거나 비슷한 동기를 지닌 그룹의 표적이 된 것으로 나타났다. 또한 해당 기관 중 82%는 공격자들이 다수임을 감지했다"고 설명했다.

f-5-1.jpg
마지막으로 웰스모어는 “확고한 목표를 설정한 공격 그룹과 맞서게 되면 결국 사이버 위협은 불가피해진다. 국가 경제 보안과 국방이 민간 분야의 보안에 더욱 의존하고 있기에, 기업들은 사이버 공격을 직면할 때 발생하는 위험에 대해 전략적 접근 방식을 취하는 것이 중요하다”며 “기업에서는 공격 가능성이 높은 침입자와 그들이 어떻게 공격할지에 대한 지식을 갖춰야 하며, 공격을 감지하고 대응할 능력을 쌓아 즉각적으로 보안 리소스를 배치할 수 있도록 준비해야 한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★