[아이뉴스24 김국배 기자] 미국 사이버보안업체 파이어아이는 최근 남북 화해 분위기 속에서도 북한발 사이버 공격은 지속될 것으로 예상했다.
팀 웰스모어 파이어아이 아시아태평양 지역 위협정보분석 디렉터는 5일 서울 강남구 삼성동 그랜드인터컨티넨탈호텔에서 열린 기자간담회에서 "아직 북한발 공격이 줄었다는 증거는 없다"며 "사이버 활동은 긴장의 시기에만 발생하는 것은 아니다"라고 말했다.
그러면서 "25년간 호주 정부에서 사이버보안 관련 업무를 해왔지만 (갈등 상태가 아닌)평화 상태의 국가들 사이에서도 사이버 첩보 활동은 계속 일어난다"며 "남북 화해 분위기를 기쁘게 생각하지만, 북한발 공격은 지속될 것"이라고 말했다.
파이어아이가 추적중인 북한 해킹 그룹 'APT37'만 하더라도 최근 공격 범위를 넓혔다.
한국 정부와 군대, 방위산업체, 언론매체 등을 주 표적으로 삼다가 지난해부터는 한반도를 넘어 일본, 베트남, 중동 지역 국가까지 공격을 확장하고 있다. 산업 분야도 화학, 전자, 제조, 항공우주산업, 자동차, 헬스케어 등 가리지 않는다.
파이어아이에 따르면 APT37은 2012년부터 활동한 것으로 보인다. 북한의 군사전략, 정치·경제적 이익을 위한 첩보 수집이 목적이다. '제로데이' 취약점을 직접 개발해 공격에 악용할 정도로 역량이 뛰어나다는 게 회사 측 분석이다. 초기 침투는 대개 '스피어피싱'으로 이뤄진다.
특히 파이어아이는 공격 시간대와 같은 기술적 지표 뿐 아니라 피해 조직의 성격 등 공격 의도와 동기를 이유로 이 조직을 북한과 연관짓고 있다. 공격 대상이 북한 정부의 이해관계와 긴밀한 연관성이 있다는 것.
팀 웰스모어 디렉터는 "소프트웨어 개발 시간, 악성코드 배포 시간 등 공격이 이뤄진 시간대가 북한의 업무시간대와 일치하는 것을 볼 수 있었고 그외에도 다른 여러 기술적 지표로 북한에서 벌어지는 활동으로 결론내렸다"고 말했다.
이어 "최근 북한과 사업적 관계를 맺었다가 잘 되지 않은 중동 국가 회사 등 타깃이 북한의 국익과 밀접한 연관이 있음을 알 수 있다"고 덧붙였다. 북한 회사와 사업이 틀어졌기 때문에 APT37의 표적이 됐다는 추정이다.
이뿐만 아니라 파이어아이는 아태 지역이 타 지역에 비해 사이버 공격을 감지하는 속도가 느리다고 지적했다.
이날 발표한 '2018 M-트렌드 보고서'에 따르면 공격자가 아태 지역 기관 내부 네트워크에 머문 체류시간은 498일에 달한다. 글로벌 평균 체류시간(101일)의 약 5배다.
또한 아태 지역의 한 번 이상 공격을 받은 기관의 91%가 동일하거나 비슷한 동기를 지닌 그룹에게서 심각한 2차 공격을 받는 것으로 조사됐다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기