증가하는 APT(지능형지속위협) 공격··· 카스퍼스키 “공격자의 트렌드를 읽어라”

실시간
뉴스

침해사고/위협동향

증가하는 APT(지능형지속위협) 공격··· 카스퍼스키 “공격자의 트렌드를 읽어라”

디지털데일리 발행일 2021-01-27 22:01:19

이종현

URL복사

[디지털데일리 이종현기자] 코로나19로 많은 기업이 경영에 어려움을 겪고 있는데 가운데 사이버 위협은 여전히 기승을 부리고 있다.

특히 지난해 북한을 배후로 둔 것으로 알려진 한국어 기반의 지능형지속위협(APT) 공격 그룹 ‘라자루스’와 ‘김수키’ 등은 역대 가장 많은 활동을 펼쳤고, 이와 같은 위협은 올해에도 이어질 것으로 예측된다.

27일 카스퍼스키는 한국어 기반 APT 그룹의 2020년 활동을 살피고 올 한해를 예측하는 온라인 세미나(웨비나)를 개최했다.

카스퍼스키는 지난해 가장 활발했던 APT 그룹으로 라자루스를 지목했다. ‘히든코브라’라고도 불리는 이 그룹은 전 세계에 영향을 미친 랜섬웨어 공격 ‘워너크라이’의 배후로 알려진 곳이다. 워너크라이 사건에 관여했다는 이유로 미국 재무부의 제재를 받는 그룹이기도 하다.

지난해 다양한 악성코드 클러스터를 이용한 라자루스 그룹은 ▲가상화폐 비즈니스 ▲국방 관련 산업 ▲코로나19 대응 관련 기업·기관 등 넓은 범위에 공격을 수행했다. 특히 사이버범죄 조직의 목적과 유사한 랜섬웨어 유포나 고객 데이터베이스(DB) 탈취 등 정교한 방향으로의 기술적 변화가 확인되기도 했다.

2014년 한국수력원자력(한수원)을 공격한 것으로 알려진 김수키 그룹 역시 공격 활동을 지속했다. 김수키 그룹은 지난해 회피가 용이한 다양한 유형의 파일 포맷을 그들의 감염 방식에 적용했다. 공격 활동의 노출을 줄이고 분석을 방해하기 위해 신중하게 최종 악성코드를 전달하는 등의 치밀함을 보였다는 것이 카스퍼스키 측 설명이다.

김수키 그룹의 주요 공격 대상은 ▲한국의 정부나 외교기관 ▲북한과 관련된 싱크탱크 ▲기자 ▲탈북자 ▲가상화폐 비즈니스 등이다. 보안업계 일각에서는 김수키가 마이크로소프트(MS)로부터 정식 고소된 이후 김수키라는 명칭 대신 ‘탈륨’이라는 명칭을 사용하고 있다는 주장도 제기되고 있다.

박성수 카스퍼스키 책임 연구원은 “APT 공격 그룹은 그들의 TTPs(Tactics, Techniques and Procedures)를 계속해서 업데이트하고 있고, 이런 경향은 앞으로도 지속할 것”이라며 “전 세계적으로 큰 이슈가 되거나 많은 돈이 모이는 것은 사이버 공격의 타깃이 된다”고 경고했다.

이어서 그는 “최근에 일어나는 공격에 대응하기 위해서는 공격 그룹이 사용하는 기법과 트렌드를 살피는 것이 중요하다”며 “만약 기업에서 파워셸을 아예 사용하지 않는다면 전략적으로 파워셸 실행을 막는 등의 전략이 유효할 것”이라고 조언했다.

한편 카스퍼스키는 AOT 공격의 전술, 기법, 절차를 파악하는 위협 인텔리전스 포탈을 운영 중이다. APT에 대해 실패나 오류 없이 보호 기능이 작동하도록 설계된 안티 APT 솔루션 ‘카스퍼스키 엔드포인트 소프트웨어(KES)’도 제공 중이다.

<이종현 기자>bell@ddaily.co.kr