카스퍼스키가 2024년부터 2025년 상반기까지 아시아태평양(APAC) 지역에서 활동한 주요 APT(Advanced Persistent Threat, 지능형 지속 위협) 그룹들의 동기가 여전히 사이버 첩보 활동에 집중돼 있다고 발표했다. 이번 분석은 정부 기밀, 외교 문서, 군사 정보와 원자력 시설을 겨냥한 공격 양상을 중심으로 제시됐다.

 

카스퍼스키 GReAT(글로벌 리서치 및 분석팀) 수석 보안 연구원 누신 샤밥은 “아시아태평양 지역은 긴장된 지정학적 상황으로 인해 항상 사이버 첩보 활동의 중심지였다. 여기에 빠른 디지털 및 경제 발전이 더해져 복잡한 위협 환경이 조성되고 있으며 이는 고위급 기관 및 기업뿐만 아니라 주요 인프라 시설을 겨냥하는 다양한 위협 행위자들에 의해 형성되고 있다”라고 설명했다.

 

카스퍼스키에 따르면 SideWinder, Spring Dragon, Tetris Phantom, HoneyMyte, ToddyCat, Lazarus, Mysterious Elephant 등이 최근 활동을 지속하며 공격 범위를 넓히고 있다. SideWinder는 해양 및 물류 산업뿐 아니라 남아시아 원자력 발전소를 겨냥해 정교한 스피어피싱을 수행하고 있으며, Spring Dragon은 베트남·대만·필리핀 정부 기관을 대상으로 10년간 1000건 이상의 악성 샘플이 탐지됐다. 2023년 발견된 Tetris Phantom은 특수 보안 USB 드라이브를 노린 악성코드를 배포한 후 BoostPlug, DeviceCync 등 고급 도구로 활동을 확장했다. HoneyMyte는 ToneShell 악성코드를 활용해 미얀마와 필리핀 외교 기관의 민감 정보를 노리고 있고 ToddyCat은 말레이시아 고위급 조직을 주요 타깃으로 삼고 있다.

 

 

라자루스(Lazarus) 그룹은 아태지역 전반에서 활발히 움직이며 첩보와 금전적 공격을 병행한다. 카스퍼스키는 올해 초 한국 주요 기업 최소 6곳을 겨냥한 ‘Operation SyncHole’을 포착했으며 조사 과정에서 인노릭스 에이전트(Innorix Agent) 소프트웨어의 제로데이 취약점이 발견됐다. 2023년 처음 관찰된 Mysterious Elephant는 파키스탄·스리랑카·방글라데시를 타깃으로 새로운 백도어 계열을 지속적으로 배포하고 있다.

 

누신 샤밥 수석 연구원은 “금전적 이득을 노리는 일반적인 사이버 범죄자들과 달리, 정부, 군사 기밀, 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다. 아시아태평양 지역의 주요 APT 활동을 살펴보면 이들이 단순한 데이터 탈취가 아닌, 지정학적 우위를 점하기 위한 전략적 행동이라는 점을 알 수 있다. 민감한 분야에 속한 조직일수록 사이버 보안 역량을 강화하고 위협 인텔리전스에 적극적으로 투자해야 한다”라고 강조했다.

 

카스퍼스키 이효은 한국지사장은 “단순히 금전적 이익만을 목적으로 하는 일반적인 사이버 범죄와 달리, 핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 지니고 있다. 아태지역의 공격 양상을 볼 때 이는 단순한 데이터 탈취가 아니라 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도다. 따라서 한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계를 고도화하고 위협 인텔리전스 자원을 심층적으로 통합하며 끊임없이 진화하는 공격 기법에 대응하기 위해 동적 방어를 도입함으로써 보안의 최후 방어선을 지켜야 한다”라고 말했다.

 

이에 카스퍼스키는 APT 공격 방어를 위해 소프트웨어 최신화, 정기적 보안 감사, EDR·XDR 기반 실시간 보호 솔루션 도입, 위협 인텔리전스 활용을 권고했다. 이를 통해 조직은 취약점 노출을 줄이고 인시던트 대응 능력을 강화할 수 있다고 설명했다.

 

헬로티 구서경 기자 |