지난해 이란, 중국, 러시아, 북한, 파키스탄 등의 국가와 연관된 단체들의 사이버 작전이 다수 발견됐다. 이들은 주로 스파이 활동, 지적재산권(IP) 탈취, 멀웨어 배포 등에 가담한 것으로 나타났다.
시스코의 보안 전문 조직 탈로스는 지난해 지능형 지속 위협(APT) 주요 동향을 분석한 결과, 이란, 중국, 러시아, 북한과 함께 인도·파키스탄 등 남아시아 국가 연계 그룹이 지난해 주로 악의적인 활동에 가담했다고 밝혔다.
특히, 탈로스는 이란 정부가 후원하는 '머디워터(MuddyWater)' 그룹, 중국과 연계된 APT 집단 등에 대해 사고 대응을 하는 횟수가 증가했다고 밝혔다.
탈로스는 "국가 지원을 받아 이뤄지는 APT 공격은 2022년 한 해 동안 지역별 정치적 상황에 따라 다양하게 변화했다"고 말했다.
■ 이란
- 단체: 머디워터(MuddyWater)
- 표적: 전 세계.
- 목적: 지적재산권 탈취와 정보 수집.
- 수법: 여러 하위 그룹으로 구성되어, 각각 특정 국가 또는 지역 대상의 공격을 실시. 다수의 백도어 및 포스트-익스플로잇 도구 사용. 취약점 교정 후에도 서버 인프라에 추가적인 백도어와 원격 코드 및 공격 도구 실행을 위한 임패킷 사용.
- 특징: 랜섬웨어 및 파괴적인 멀웨어 배포할 수 있는 기술적 수단 보유. 하위 그룹들은 고유의 TTP를 사용해 목표 대상을 무력화하는 동시에 효과적이라고 판단되는 멀웨어, 도구 및 절차 등 서로 공유.
- 어떤 일을 저질렀나: 지난해 튀르키예 정부 기관 해킹을 시도. 중동에 '슬라우RAT(SloughRAT)'라는 새로운 임플란트 유포.
■ 중국
- 단체: 무스탕 판다(Mustang Panda), 딥 판다(Deep Panda)
- 표적: 중국 정부의 전략적 목표에 맞춰 미국, 아시아 뿐 아니라 러시아 조직을 비롯한 유럽 단체들까지 다양한 분야의 주요 기업을 대상으로 함.
- 목적: 지적재산 및 민감 데이터 탈취.
- 수법: 무스탕 판다는 러시아-우크라이나 전쟁을 활용한 광범위 스파이 캠페인 실시. 딥 판다는 정부, 군대, 공공시설, 금융 기관을 대상으로 하는 별도의 국가 후원 사이버 스파이 그룹으로 로그4j 취약점을 악용. 이를 통해 의료 기관에 피해를 입히고, 이후 공격 지속성을 유지하기 위해 맞춤형 백도어를 배포.
■ 러시아
- 단체: 팬시 베어(Fancy Bear), 가마레돈(Gamaredon), 툴라(Turla)
- 표적: 북대서양조약기구(NATO) 및 구소련 국가의 공공과 민관 기관 겨냥.
- 배후: 팬시 베어는 러시아 군사정보국(GRU) 소속으로 추정. 가마레돈은 크림반도에서 러시아 정부의 지원을 받는 것으로 추정. 툴라는 러시아 연방보안국(FSB)과 연계된 것으로 추정.
- 목적: 민감 데이터 획득.
- 수법: 팬시 베어는 우크라이나 침공 몇 주 전 단행된 파괴적 와이퍼 공격 '위스퍼게이트(WhisperGate)'와 유사한 전술·기술·절차(TTP) 사용. 가마레돈은 우크라이나 정부 관계자가 사용하는 기기를 정보 탈취 멀웨어에 감염시켜 민감한 데이터를 획득하는 대규모 스피어 피싱 캠페인 실행. 툴라는 고도화된 표적 작전 사용. 워터링 홀, 스피어 피싱 캠페인, 소셜 엔지니어링 기술 및 공개된 취약점 악용. '크러치(Crutch)' 또는 '게이저(Gazer)'와 같은 맞춤형 백도어 활용.
■ 북한
- 단체: 라자루스 그룹(Lazarus Group)
- 목적: 스파이 활동, 데이터 탈취, 파괴적인 공격 행위 통해 북한의 정치적 및 안보 목표 지원.
- 수법: 맞춤형 멀웨어 활용, 광범위한 금전 갈취에 가담. '매직RAT(MagicRAT)'로 명명한 새로운 원격 액세스 트로이 목마(RAT)와 내부 정찰 및 데이터 탈취에 사용되는 기타 맞춤형 임플란트 유포.
- 어떤 일을 저질렀나: 미국, 캐나다, 일본에 위치한 에너지 회사를 대상으로 VM웨어 호라이즌 공용 서버의 로그4j 취약점 악용.
■ 파키스탄
- 단체: 트렌스페어런트 트라이브(Transparent Tribe)
- 표적: 아프가니스탄과 인도 정부 및 군사 기관, 제휴 조직. 최근에는 인도 교육기관과 학생으로 위협 대상 확장.
- 단체: 비터 APT(Bitter APT)
- 목적: 스파이 활동 가담.
- 표적: 남아시아·동아시아 정부와 에너지 및 엔지니어링 기관을 표적으로 한 장기 작전 실시.
- 수법: 2022년 초 탈로스는 남아시아에서 활동하는 여러 APT 집단이 다른 단체가 작성한 VBA 코드를 의도치 않게 사용했다는 연구 결과를 발표.
■ 어떻게 대처해야 하나: 철두철미한 공격자 추적 방법 마련 및 보안 탄력성 구현.
시스코 탈로스는 "지난해는 라자루스, 머디워터 등 국제적인 해킹그룹에 의한 지속적인 사이버 공격이 단행된 한 해였다"며 "로그4j와 같이 잘 알려진 취약점을 악용하는 수법이 만연했으며 공공기관, 민간기업, 의료기관 등으로 공격 대상이 확대됐다. 조직들이 이러한 위협 행위를 모니터링하고 빠르게 탐지하기 위해서는 간편하면서 효과적인 엔드포인트 보안 방식 도입이 필요하다"고 말했다.
이어 "시스코 시큐어 엔드포인트로 지속적인 모니터링과 정보 분석을 통한 높은 가시성 및 신속한 탐지 능력을 지원해, 고객들이 은밀한 공격으로부터 보다 안전할 수 있는 환경을 제공한다. 동시에 모든 활동을 기록해 보안 담당자에게 실시간으로 위협 정보를 공유하고 적용시켜 위협탐지시간(TTD)을 수분으로 대폭 단축시킨다"고 덧붙였다.
탈로스는 복잡해진 보안 위협 환경에서 4가지 방안을 제시했다.
첫째, 보안 팀들은 위협 활동을 촉진하는 지정학적 트렌드를 이해하고, 철두철미한 공격자 추적 방법과 위협 인텔리전스 프로세스를 마련해 고도화되는 공격 활동을 기록해야 한다. 주요 공격자들의 높은 유연성과 빠른 적응 능력으로 인해 보안 상황에 대한 파악이 그 어느 때보다 중요해졌기 때문이다.
둘째, 탐지 방법에 따라 공격자들이 활동과 도구를 빠르게 변경하기 때문에 보안 팀도 강력한 보안 생태계를 구축하는 동시에 전 직원에게 보안 제품을 배포하고 직원들이 이를 삭제하지 못하도록 해야 한다.
셋째, 기업을 겨냥한 위협이 대규모로 일어난다는 점을 감안했을 때 보안 심각도 평가, 경고 피로 감소, 정확한 문제 해결 방법 제안 등 기본적인 위협 상황을 알 수 있도록 보안 경고 시스템을 설계해야 한다.
마지막으로, 공격자들이 기술적 정교함을 높이고 있기 때문에 기업은 "'만약'이 아니라 언제나(not if, but when)"라는 자세로 사고 대응 계획을 개발해 보안 탄력성을 구현해야 한다. 또한 다양한 위협 시나리오를 타진하는 등 공격자들이 피해자 네트워크에 침투하더라도 공격을 막을 방법을 강구할 필요가 있다.
