"중국(정부)의 지원을 받으면서 한국과 일본의 에너지 분야 기간시설을 표적으로 삼는 제2의 공격조직이 부상하고 있다. 그들 공격 대상은 아직까지 전통적인 정보기술(IT) 계층에 머물러 있지만, 저들도 러시아 공격조직처럼 운영기술(OT) 공격 역량을 보유할 수 있다."
미국 사이버보안업체 파이어아이가 한국의 에너지분야 IT인프라를 공격하는 사이버위협 수준의 심화 가능성을 경고했다. 중국 정부 지원을 받아 한국과 일본 지역을 공격하는 걸 주 임무로 삼는다고 추정되는 해커그룹 '톤토(Tonto)'와 '템프틱(Temp.Tick)'의 동향을 소개하면서다.
라이언 웰란 파이어아이 전략첩보작전(Strategic Intelligence Operations) 부문 총괄이사는 25일 서울 그랜드인터컨티넨탈 파르나스호텔 기자간담회에서 주요 지역별 해커그룹 동향을 소개하면서 "향후 기간시설 운영조직의 리스크를 더 철저히 평가해야 한다"고 지적했다.
웰란 이사는 한국 기업과 기관이 염두에 둬야 할 최근 세계 사이버위협 동향을 지정학적 요인, 개인정보를 노린 공격, 산업제어망을 노린 공격, 세 가지 측면의 위협 증가로 요약했다. 북한, 중국, 이란, 러시아 등 정부의 지원을 받는 해커그룹 활동이 배경으로 제시됐다.
■ "지정학적 요인으로 북중 해커그룹 위협 고조"
지정학적 요인에 따른 사이버공격 위협의 주체는 파이어아이가 'APT37'과 'APT38'이라고 지칭하는 해커그룹이다. 파이어아이의 분석에 따르면 두 해커그룹은 북한 정부의 지원을 받으며 움직인다.
APT37은 올초 북미정상회담 기간중 '한미우호협회(KFAS)'를 사칭해 작성한 '미끼 문서' 파일을 배포해 이를 열어 본 사용자의 PC에 악성코드를 감염시키고 정보를 탈취했다.
웰란 이사는 이런 미끼 문서 파일을 이메일로 전달받고 무심결에 열람한 일반 사용자들이 악성코드에 감염되는 사례가 빈번하다는 점을 지적하면서 "여전히 99%의 침해사례가 이메일로 시작된다"면서 "조직내 보안인식을 강화하고 싶다면 구성원들이 이메일로 받아 열고 읽는 대상에 대한 경계를 높이라"고 조언했다.
APT38은 국제금융거래망 스위프트(SWIFT)에서 자금을 탈취하는 공격을 수행했던 해커그룹이다.
웰란 이사는 "이들은 여러 툴을 자체 개발해 스위프트 네트워크에서 위조 거래를 생성, 자금을 탈취하고 거래 과정과 흔적을 지우는 기능까지 수행했다"며 "보통 이런 공격그룹을 우리는 금융범죄집단으로 분류하는데, APT38의 성격은 (북한) 정부지원을 받으며 정권을 위한 자금확보를 위해 움직인다는 점에서 독특하다"고 설명했다.
중국 정부의 지원을 받는 'APT40' 해커그룹 역시 지정학적 요인에 따른 사이버위협의 주체로 지목됐다. 파이어아이는 지난 2013년부터 APT40을 추적해 왔는데, 그간 이 해커그룹의 사이버공격 대상은 해운·조선 및 방위 산업에 집중돼 있었다. 그런데 최근 들어 중국이 유럽과 아프리카 지역 국가들과 1조달러 규모의 경제교류를 위해 '일대일로' 프로젝트를 추진하면서 APT40은 일대일로를 지원한다는 추가 임무를 부여받은 듯 움직이고 있다고 봤다.
웰란 이사는 "중국의 해커그룹이 전략적인 국익을 보호하기 위해 주력 분야를 바꾼 것으로 볼 수 있기 때문에 (공격의 목적을 알고 대비하려면) 지정학적 역학관계를 정확하게 이해할 필요가 있다"며 "민간 시장에서 중국의 일대일로 참여 기업과 경쟁관계에 있는 곳이 과거대비 공격 표적이 될 위험이 높아질 수 있다"고 말했다.
다른 트렌드는 개인식별정보나 민감한 정보를 노린 사이버침해 시도의 증가다. 파이어아이가 소개한 사례 중 하나는 이란 소재 해커그룹으로 추정되는 'APT39'의 활동이었다. APT39는 반정부인사의 신분증이나 관련 문서, 문자메시지 송수신내용, 여행일정표와 같은 정보를 탈취하기 위해 항공사, 통신사 등을 공격했다.
웰란 이사는 "APT39는 통신사 SMS 시스템만이 아니라 코어네트워크까지 표적으로 삼아 활동했는데, 이를 장악하면 신뢰할 수 있는 사용자에게 조작된 가짜 SMS를 보내는 식으로 공격수단을 늘릴 수 있다"고 강조했다.
한국에선 앞서 북한 정부 지원 해커그룹으로 소개된 APT37이 비슷한 활동을 벌였다. 먼저 지적한 '미끼문서' 유포 수법을 한국 공공부문에 활용했다.
웰란 이사는 "기업과 기관들에게 단순히 자체 데이터와 지적재산과 직원들의 기록뿐아니라 여러 협력사와 고객사 데이터까지 얽혀있다는 점에서 종전보다 리스크 수준이 더 고조됐다"면서 "공격자가 AI와 자동화 기술에 더해 (탈취한) 개인식별정보를 활용해 대규모 표적공격을 수행할 수 있게 된다는 점도 개인정보탈취 공격 트렌드에서 염두에 둬야 할 요소"라고 덧붙였다.
■ "IT넘어 OT까지 노리는 해커그룹…한국도 대비해야"
파이어아이는 전력계통망이나 열차·도로 관제시스템, 원자력발전소 운전 등 사회기반시설을 제어하는 OT 인프라를 노린 공격의 증가를 주요 트렌드로 짚었다. 이미 다른 나라에서 '트리톤'처럼 정부 지원 해커그룹 활동으로 발생한 산업제어기기 대상 표적공격 사례가 발생했고 한국도 그런 유형 공격이 일어날 가능성을 배제할 수 없다는 메시지였다.
트리톤은 공격자들이 최초로 IT 계층을 넘어서 OT까지 침투한 사례였다. 러시아 국영 연구소 조직으로 추정되는 해커그룹이 특정한 산업제어기기를 표적으로 삼는 24개 이상의 공격 툴을 개발해 표적 OT에 깊게 침투, 그 환경에 쓰이는 산업제어시스템(ICS)을 직접 공격했다. 발전설비 안전도를 파악해 유사시 동작을 차단해야 하는 발전소 안전제어시스템에 공격이 성공했다면, 물리적 피해뿐아니라 인명손실을 야기할 수 있었던 공격이다.
이 점을 지적한 웰란 이사는 "(공격 성공시) 이처럼 공장과 발전소에 물리적 타격이 생길만큼 깊게 침투한 것은 처음이었다"며 "지난 몇주 사이에 이 공격의 두번째 표적이 식별돼, 우리의 침해대응팀이 파견돼 조사를 진행하고 있다"고 설명했다. 이어 "트리톤의 사례를 통해 이 공격이 일회성이 아니라는 점과, 공격자들의 역량이 지속적으로 늘고 있다는 점을 알 수 있다"고 덧붙였다.
그는 "OT를 위협하는 공격을 러시아 해커그룹만 하는 건 아니다"라며 중국의 '톤토(Tonto)'와 '템프틱(temp.tick)' 해커그룹 활동을 소개했다. 그에 따르면 톤토는 이전부터 주로 한국과 일본의 에너지분야의 주요 기반시설을 공격대상으로 삼았다. 템프틱은 얼마 전까지 한국·일본·러시아 항공·방위 산업을 주 공격 목표로 삼아 활동했는데, 2018년 12월 처음으로 톤토처럼 한국의 에너지분야를 공격 대상으로 삼았다.
웰란 이사는 "(템프틱이 새로 공격 대상으로 삼은) 공격 대상 에너지분야 기업이 파이어아이의 한국 고객사였다"며 "해커그룹의 공격 시도를 파이어아이 보안어플라이언스가 차단하는 과정에 공격자 정보를 수집했고, 두 공격 그룹간 공통점을 많이 발견했다"고 설명했다.
과거 한국의 에너지산업 분야를 공격하기 위해 활동하는 중국 정부 지원 해커그룹의 존재는 톤토 하나뿐이었다. 그런데 이런 유형의 두번째 해커그룹으로 템프틱이 추가된 셈이다. 웰란 이사는 이 사례에 대해 "중국 안에서 기간시설 공격에 관심이 커지고 있음을 방증한다"며 "두 그룹이 명령제어서버같은 리소스를 공유하고 있다면 기간시설 공격에 투입할 수 있는 리소스가 상당하다고 추정할 수 있다"고 말했다.
관련기사
- "아태지역 사이버침해 공격지속시간 중앙값 8개월 넘어"2019.04.25
- "산업 시스템 공격하는 '트리톤' 흔적 추가 발견"2019.04.25
- "사이버 공격자도 양자컴퓨팅 기술에 투자 중"2019.04.25
- 6·13지방선거 사이버위협, 어떻게 대비하나2019.04.25
그는 이어 "톤토와 템프틱을 언급할 때 과거엔 이들이 주요기간시설, 에너지산업을 공격했다더라도 전통적인 IT인프라 계층을 표적으로 삼았지, OT쪽까지 온 사례는 파악되지 않았다"면서 "하지만 트리톤처럼 정부지원 해커그룹이 OT 공격 역량을 보유할 수 있는 걸로 확인됐으니, 한국 주요기간시설 표적에 관심이 커진 중국에서 비슷하게 OT 공격 역량 확보에 자원을 투입할 수 있다"고 내다봤다.
웰란 이사는 향후 한국과 일본의 주요 기간시설을 운영하는 조직과 산업계에서, 해당 시설을 국가지원 해커그룹이 표적으로 삼을수 있다는 점을 인식하고 그런 리스크를 철저히 평가, 이해할 필요가 있다고 강조했다.
