중국 정부지원 해커그룹이 한국 에너지 기업을 목표로 표적 공격을 감행했다.
파이어아이코리아(대표 전수홍)는 25일 서울 강남 그랜드인터컨티넨탈호텔에서 '한국과 아시아 지역에 대한 사이버 위협: 변화와 대비'를 주제로 간담회를 했다.
파이어아이 위협 인텔리전스는 국내 에너지 기업을 목표로 한 중국 정부 지원 해커 집단 '톤토팀(Tonto Team)'표적 공격을 처음 공개했다.
톤토팀은 지난해 하반기 캄손과 고스트라는 이름의 악성코드를 이용해 한국 에너지기업을 공격했다. 지금까지 톤토팀 한국 지역 활동은 여러 번 발견됐지만 대부분 안보, 첨단기술, 해상, 화학, 정부, 항공우주, 방위 산업 기지를 목표로 했다. 에너지 산업을 표적 공격한 것은 이번이 처음이다.
파이어아이는 캄손과 고스트 악성코드 샘플이 뉴스 사이트로 가장한 도메인에 호스팅 됐으며 해당 사이트는 사이버 공격 그룹이 제어하는 주소일 가능성이 높다고 설명했다.
파이어아이 연구팀은 톤토팀 분석과 함께 중국 지원 해커조직으로 알려진 '탬프틱' 간 연관성도 밝혀냈다. 이들 그룹이 정보를 공유하고 한국, 일본에 공격을 감행하는 등 비슷한 행보를 보였다. 게다가 명령·제어를 위해 동일한 IP주소를 사용했다. 탬프틱은 2009년부터 활동을 시작했으며 한국과 일본 등 민간 부문 조직을 주요 공격 대상으로 삼았다.
파이어아이는 “톤토팀 공격 대상지역에 대한 변화는 없지만 최근 탬프틱 등과 자산 통합, 중앙 배포센터 구축 등 공격이 더 능숙해져 큰 위협이 될 수 있다”고 경고했다.
이날 파이어아이는 2018년 세계 침해대응 서비스 '맨디언트' 조사에서 얻은 통계와 인사이트를 담은 '2019 맨디언트 M-트렌드 보고서'도 공개했다.
보고서에 따르면 아태지역 조직이 사이버 침해가 시작된 후 내부 보안팀 확인까지 미국, 유럽, 중동 등과 비교해 매우 늦은 것으로 나타났다. 아태지역은 침해 사실 확인까지 262일이 소요된 반면 미국(46일), 유럽, 중동, 아프리카 등은 61일로 상당히 빨랐다.
국가지원 해킹 그룹은 정치, 경제 이슈 등에 따라 표적을 변경하며 지속 발전했다. 특히 북한은 사이버 스파이 활동, 금적 목적 사이버 공격 등 활동 범위가 확대된 것으로 나타났다. 파이어아이는 “지능화된 수법과 역량을 높이는 동시에 경제적 이득을 취하고 데이터를 파괴하기도 한다”면서 “북한이 최근 국제 사회에 다시 모습을 드러내고 있지만 이 같은 작전(사이버 공격)은 계속된다”고 설명했다. 이외 중국, 러시아, 이란 등도 국가 지원 해킹활동을 꾸준히 벌인다.
전수홍 파이어아이코리아 대표는 “2018년 사이버 공격자가 새로운 방법론을 도입, 더 정교한 공격이 이루어지는 것을 발견했다”면서 “한국 기업도 사이버 위협으로부터 자유로울 수 없으며, 앞으로 더 많은 보안 문제를 마주하게 될 것”이라고 말했다.
정영일기자 jung01@etnews.com