2012년 이후 한국의 주요 정부기관과 군 시설, 방산기업 등에 대한 사이버 공격을 감행해온 북한의 사이버 공격 그룹 APT37이 최근 한국은 물론 일본과 베트남, 중동지역으로 공격 범위를 확대하고 있는 것으로 나타났다.
팀 웰스모어 파이어아이 아태지역 위협정보분석 디렉터 5일 기자 간담회에서 한반도 사이버 보안 현안에 대해 설명하고 있다.
인텔리전스 기반 서비스형 보안 솔루션 업체 파이어아이(FireEye)는 5일 서울 강남 그랜드 인터컨티넨탈 서울 파르나스 호텔에서 열린 '사이버 디펜스 라이브 서울(Cyber Defense Live Seoul)' 일환으로 개최한 최신 사이버 위협과 한반도 보안 이슈 발표에서 이같이 밝혔다.
파이어아이는 지난 2월 'APT37', 또는 '리퍼(Reaper)'로 추정되는 북한 해킹 그룹이 어도비 플래시의 제로데이 취약점(CVE-2018-4878)을 이용했다는 사실에 대해 상세히 알린 바 있다.
팀 웰스모어 아시아태평양 지역 위협정보분석 디렉터는 "한국 기업은 전에 없던 고강도 사이버 보안 위협에 처해 있으며, 이러한 위협에 맞서 다양한 방안을 펼치고 있다"며 "이러한 현상은 한국 기업뿐만 아니라 아시아 주요 국가들로 확대되고 있다"고 지적했다.
APT37은 그 활동 반경이 넓어졌을 뿐만 아니라 수법도 더욱 정교해지고 있다. 산업분야에서도 화학, 전자, 제조, 항공우주산업, 자동차 및 헬스케어 등 가리지 않고 공격 대상 범위를 넓혀가고 있다.
웰스모어 디렉터는 APT37의 주요 임무가 북한의 군사 전략, 정치 및 경제적 이익을 위한 기밀 정보 수집이라고 판단하면서 국내 공공기관 및 사설 업체가 지속적으로 공격 대상이 되었다는 점을 그 근거로 제시했다.
최근 APT37가 목표 범위를 넓힌 것은 북한의 전략적 이익에 직접적인 연관성이 있는 것으로 보인다. 파이어아이는 APT37이 최근 중동지역의 한 기업이 북한과의 업무협력을 취소하자 보복성 공격을 가한 것으로 파악된다고 설명했다.
웰스모어 디렉터는 이러한 상시적이고 비정기적인 사이버 위협이 아시아태평양 지역 국가들에서 급격히 증가하고 있다며 확실한 대비가 필요하다고 강조했다.
파이어아이의 사이버 위협 동향 보고서 '2018 M-Trend'에 따르면, 지난해 아시아태평양 지역 기관들에 대한 네트워크 공격자들의 평균 체류시간이 498일에 달했다는 점을 밝혀냈다. 이는 2016년 글로벌 평균 체류시간인 101일의 5배에 달하는 수치다.
보고서는 또, 아시아 태평양 지역 소재 기관 중 이미 한 번 표적이 된 기관은 계속해서 공격대상이 될 수 있다면서, 아시아 태평양 지역 기관은 다수의 공격자로부터 여러 건의 피해를 당한 경험이 유럽·중동·아프리카 지역, 또는 북미 지역과 비교했을 때 두 배나 많았다고 밝혔다.
한 번 이상 심각한 공격 시도를 당한 아시아 태평양 지역의 파이어아이 고객사 중 91%가 동일하거나 비슷한 동기를 지닌 그룹의 표적이 된 것으로 나타났다. 또한 해당 기관 중 82%는 공격자들이 다수임을 감지했다.
웰스모어 디렉터는 "확고한 목표를 설정한 공격 그룹과 맞서게 되면 결국 사이버 위협은 불가피해진다. 국가 경제 보안과 국방이 민간 분야의 보안에 더욱 의존하고 있기에, 기업들은 사이버 공격을 직면할 때 발생하는 위험에 대해 전략적 접근 방식을 취하는 것이 중요하다"며 "기업에서는 공격 가능성이 높은 침입자와 그들이 어떻게 공격할지에 대한 지식을 갖춰야 하며, 공격을 감지하고 대응할 능력을 쌓아 즉각적으로 보안 리소스를 배치할 수 있도록 준비해야 한다"고 강조했다.