파이어아이(지사장 전수홍)는 국경분쟁과 기타 외교 문제에 대한 정보해킹을 목적으로 한 지능형 공격이 활발한 가운데, 중국 기반 해킹그룹이 분쟁 관련 정보를 확보하기 위해 인도와 주변지역의 주요 기구를 집중적으로 해킹한 정황이 포착되었다고 밝혔다.
 
파이어아이는 이번 APT그룹이 중국기반이라고 추정했으며, 이들은 타깃이 된 피해자에게 마이크로소프트 워드 파일을 첨부해 스피어 피싱 이메일을 전송하는 수법을 사용한 것으로 전했다. 파이어아이는 2011년부터 WATERMAIN의 활동을 포착해 왔다. 지난 4년간 이 위협그룹은 WATERMAIN을 사용해 100명의 피해자를 만들었고, 이 중 약 70%가 인도에서 발생했다.
 
WATERMAIN 공격을 시작한 위협 그룹은 티베트인의 활동과 기타 동남 아시아를 타겟으로 정부, 외교, 과학, 교육 관련 기구에 공격을 집중했다. 이들이 보낸 스피어 피싱 이메일에 첨부 된 문서에는 지역 이슈에 관한 내용이 포함돼 있었으며, PC 감염을 위한 백도어를 만들어내는 WATERMAIN이라고 불리는 스크립트가 포함돼 있었다.
 
한편, 이 캠페인 공격은 인도의 수상 나렌드라 모디(Narendra Modi)의 첫 중국 방문이 이루어 졌던 2015년 4월에 발견된 적 있다. 이와 관련 파이어아이는 지난 4월 동남아시아와 인도 지역의 정부, 기자, 상업 단체를 노린 중국 기반의 APT30에 대한 리포트를 공개한 바 있다. APT30은 중국 정부의 후원을 받고 있는 것으로 추정됐으며, 동남아시아 지역의 정책, 경제, 군사 이슈, 분쟁지역에 대한 내용을 타깃으로 해킹을 해 온 것으로 밝혀진 바 있다.
 
파이어아이 코리아 전수홍 지사장은 "인도의 사이버 공격에 대한 인텔리전스를 확보하는 것은 중국을 기반으로 하는 APT그룹을 밝혀내기 위한 핵심 전략"이라며 "최근 사이버 공격이 국가간의 위협으로 확대되며 국제적인 양상을 띠고 있는 만큼 한국도 국가적 차원에서 사이버 위협을 대비해야 한다. 이번 인도 사례와 같이 글로벌 사이버 공격에 대한 파이어아이의 풍부한 인텔리전스 확보는 점차 다각화되고 있는 사이버 위협으로부터 국내 기업과 정부 기관을 보호하는 데에도 중요한 역할을 할 것"이라고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com