[첨단 헬로티]

파이어아이는 중국과 연계된 톤토팀이 2018년 하반기에 캄손(CALMTHORN)과 고스트(GH0ST) 멀웨어 페이로드를 이용해 한국의 에너지 기업을 공격한 것으로 판단했다. 톤토팀은 활동 범위가 광범위하고 한국 지역을 표적으로 삼은 전력이 있지만, 에너지 산업 관련 기업을 표적으로 한 사례는 이번이 처음이다. 해당 공격의 최초 감염 요소(vector)가 무엇인지는 알려지지 않았다.

25일, 파이어아이는 이 같은 내용을 포함한 사이버보안과 관련한 최근 아태지역 대상 사이버 공격 패턴과 트렌드에 관해 삼성동 그랜드 인터컨티넨탈 서울 파르나스에서 기자간담회를 열고 발표했다.

 

▲ 라이언 웰란(Ryan Whelan) 파이어아이 운영 전략 부서 총괄이사

라이언 웰란(Ryan Whelan) 파이어아이 운영 전략 부서 총괄이사는 “중국, 북한, 러시아로부터 한국을 대상으로 한 사이버공격이 보다 치밀해지고 있으며 IT 분야뿐만 아니라 OT 분야의 공격 침해 사례로 발견되고 있다”고 말했다.

그는 “톤토팀의 공격 대상 지역에는 변화가 없었지만 최근 발견된 탬프틱과의 중복 활동에 더해 최초 탐지된 에너지 부문 공격을 살펴보면, 오바마 미국 전 대통령과 시진핑 국가주석이 체결한 사이버 첩보활동 금지 합의 이후 생긴 조직 개편으로 인해 톤토팀의 사명 및 구조에 변화가 있었을 가능성이 있는 것으로 나타났다. 그들이 툴과 인프라 등의 자산 통합, 혹은 중앙 배포 센터를 구축함으로써 공격에 더욱 능숙해지고 해당 지역에 더 큰 위협이 될 수 있음을 시사한다”고 분석했다.

 

톤토팀(Tonto Team) 사이버 공격 그룹은 2012년 혹은 그 이전부터 활동하고 있는 중국과 연계된 사이버 첩보 활동 단체로, 러시아, 일본 및 한국의 군사 및 보안 관련 조직을 대상으로 수많은 공격을 수행하고 있다. 러시아, 일본, 한국 지역의 모니터링을 담당하고 있는 것으로 보인다.

탬프틱(TEMP.Tick) 사이버 공격 그룹은 2009년 혹은 그 이전부터 활동을 시작했고, 한국과 일본의 공공 및 민간 부문 조직을 주요 공격 대상으로 하고 있다. 공격 대상에는 국방, 중공업, 항공우주, 기술, 은행, 헬스케어, 자동차, 미디어 산업 등이 포함된다. 사회 공학적 분석에 따르면 탬프틱은 중국의 반체제 조직에 대한 모니터링 작업을 수행해 왔는데, 이는 중국 정부가 지원하는 해킹 그룹의 활동과 일치한다.

라이언 웰란 이사는 “멀웨어 배치와 공격 명령 구조를 분석한 결과, 톤토팀과 탬프틱 간의 연관성이 있음이 보인다. 이는 두 그룹이 특정 레벨에서 리소스를 공유하거나 동아시아 지역의 관심 표적에 대한 공격에 협력하고 있을 가능성을 암시한다”며 만약 이들간에 협력이 사실이라면 더 큰 위협 요소가 될 것으로 전망했다. 

탬프틱은 이전에 하드시멘트 멀웨어를 이용해서 국내 포털 사이트 다음(Daum) 관련 도메인으로 위장했던 사례가 발견된 바 있다. 

▲ 스티브 레드지안(Steve Ledzian) 파이어아이 아태지역 부사장 및 최고 기술 책임자

스티브 레드지안(Steve Ledzian) 파이어아이 아태지역 부사장 및 최고 기술 책임자는 M-Trends 2019 보고서를 내용을 인용해 “침투가 발견되자 마자 치료를 시작하는 경우가 많은데 이는 섣부른 판단이다. 우선적으로 취해야 할 행동은 어느 범위까지 공격자가 네트워크에 침범했는지 확인하고 신중히 행동하는 게 중요하다”고 지적했다.

이어, “복구 소요시간은 침투해서 체류한 시간과 완전히 정비례한다. 만약에 공격을 조기에 파악하게 되면 공격자들이 뿌리내릴 시간이 짧기 때문에 문제 해결 시간도 적게 걸린다. 대조적으로 침해 이후 한 달 정도 됐다면 이미 여러 시스템으로 침투했을 가능성이 높다. 전체 공격의 정도를 파악하는 것이 필요하다. 이러한 부분에서 파이어아이 대응팀이 도움을 줄 수 있을 것으로 본다”고 덧붙였다.

M-트렌드 보고서(M-Trends report)는 파이어아이가 2010년부터 매년 발간하고 있으며, 올해 보고서는 파이어아이가 2018년 한 해, 전 세계의 맨디언트(Mandiant) 조사에서 얻은 통계와 인사이트를 포함하고 있다. 이 조사 보고서는 2017년 10월 1일부터 2018년 9월 30일까지의 포렌식 연구 결과를 바탕으로 작성됐다.

스티브 레드지안 아태지역 부사장은 “2018년 아태지역 조직에서 사이버 침해가 시작될 때부터 내부 보안팀에 의해 확인될 때까지 공격자가 피해 조직 내 네트워크에서 활동한 공격 지속 시간은 총 262일로, 8개월이 넘는 시간인 것으로 나타났다. 미국과 EMEA(유럽, 중동 및 아프리카) 조직들의 내부 보안팀이 일반적으로 침해를 탐지하는 시간은 각각 46일, 61일로 상당히 빠른 편이다”고 언급했다.

반면, 아태지역 조직들은 상대적으로 느린 대응 속도를 보이고 있으며, 이는 일반적으로 해당 조직을 위태롭게 하는 공격자가 활동이 탐지되기 전 목표를 달성할 수 있는 시간이 훨씬 많다는 점을 의미한다고 풀이했다.

그는 “아태지역 소재 조직 중 이미 한 번 표적이 된 조직은 계속해서 재공격의 표적이 될 수 있다”고 지적하며 “특히 인수합병 활동 중 피싱 공격을 통한 침해가 증가하고 있는데 사이버 공격 그룹들은 과거에 공격한 조직을 다시 표적으로 삼을 뿐 아니라, 클라우드 기업, 통신사, 기타 서비스 제공 기업 등 클라우드 내 정보를 노리고 있다”고 지적했다.

▲ 파이어아이 코리아 전수홍 지사장

파이어아이 코리아 전수홍 지사장은 "2018년에는 사이버 공격자들이 새로운 방법론을 도입하며 더욱 정교한 공격이 이루어지는 것을 발견했다. 2019년 M-트렌드 보고서는 어떠한 산업 분야도 이러한 위협으로부터 안전하지 않다는 점을 보여주고 있다“고 언급했다.

이어, “안타깝게도 아태지역은 여전히 사이버 공격의 배후를 탐지하는 과정에서 다른 지역에 비해 상대적으로 느린 속도를 보이고 있으며, 과거의 경험에 비추어볼 때, 한국 기업들은 사이버 위협으로부터 자유로울 수 없다. 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 덧붙였다.