파이어아이-싱텔, 동남아 사이버 공격 보고서 발간

편집 : 2024.4.29 월 12:17

뉴스	파이어아이-싱텔, 동남아 사이버 공격 보고서 발간“지역 기업 및 정부 기관, 사이버 공격 주 타깃” 김동기 기자 \| kdk@bikorea.net

승인 2015.12.10 03:00:55

파이어아이(지사장 전수홍 www.fireeye.com/kr/ko)와 싱가폴 통신사 싱텔(Singtel)이 공동으로 동남아시아 지역 내 기관을 타깃으로 한 지능형 사이버 공격에 관한 새로운 보고서를 발표했다.

보고서에 따르면, 올해 상반기 동안, 동남아시아 지역은 사이버 공격의 대상이 될 위험이 전 세계 평균보다 45% 가량 더 높은 것으로 나타났다.

2014년 하반기, 전 세계 평균 대비 약 7% 가량 높았던 것에 비하면, 그 수치가 크게 늘어난 것.

올해 상반기, 조사대상 동남아시아 지역 기업체 및 기관 중 29%는 지능형 사이버 공격에 타깃이 됐다.

동남아시아 국가 중에서도 태국과 필리핀이 사이버 공격을 가장 많이 받았는데, 조사 대상 중 각각 40%, 39%의 기관이 이러한 공격에 노출됐다.

지능형 지속 위협인 APT(Advanced Persistent Threat)에 이용된 멀웨어(Malware)의 1/3은 연예, 언론, 숙박 산업을 타깃으로 했다.

공격 그룹은 언론 기관을 타깃으로 해 배포되기 전의 뉴스를 확보하는 동시에 정보원들을 알아낼 수 있었다.

파이어아이는 전 세계적으로 최소 13개의 APT그룹이 국가 정부 기관을 타깃으로 하고 있으며, 최소 4개의 APT그룹은 주 정부 혹은 지방 정부를 타깃으로 하고 있는 것으로 조사됐다고 밝혔다.<그림 '타깃형 멀웨어에 영향을 받은 국가(2015년 상반기 기준)' 참조>


▲ 그림 타깃형 멀웨어에 영향을 받은 국가(2015년 상반기 기준)

◆감염된 국유은행 = 파이어아이는 동남아시아 지역 내 국유은행에서 악성코드 경보를 탐지했다.

파이어아이 위협 인텔리전스에 따르면, 멀웨어 ‘CANNONFODDER’는 아시아 기반 사이버 공격 그룹이 정치∙경제적 기밀 정보를 수집하기 위해 가장 많이 이용하는 악성코드라고 밝혔다.

2014년 하반기에 파이어아이는 아시아 통신 회사에서 멀웨어 경보를 탐지했다.

이어 2014년 중순 공격 그룹이 아시아 지역 정부의 공직자들을 대상으로 악성 첨부파일을 동봉한 스피어피싱을 발송했던 것을 밝혔다.

◆10년 동안의 사이버 스파이 행위 탐지 = 2015년 4월, 파이어아이는 APT30이라고 명명된 APT그룹이 10년 간 동남아시아 기업, 정부기관, 기자들을 대상으로 스파이 행위를 했다고 밝히며 이에 대한 보고서를 발표했다.

해당 그룹이 이용하는 멀웨어 ‘Lecna’는 2015년 상반기 동안 동남아시아의 파이어아이 고객 중 7%를 감염시켰다..

◆은닉 APT 그룹, 동남아시아 정부 타깃 = 파이어아이는 2013년 처음 발견된 독특하고 은밀하게 공격을 수행하는 APT 나인블로그(NineBlog)가 진행하는 사이버 공격을 추적하고 있다.

타깃을 유인하는 문서의 특징으로 추측해볼 때, 해당 공격 그룹의 2015년 활동 중 현재 가능성 있는 타깃 중 하나는 동남아시아 정부 기관이다.

이 그룹의 멀웨어는 암호화된 SSL커뮤니케이션을 이용해 탐지 시스템을 피한다. 게다가 이 그룹의 멀웨어는 멀웨어 분석용 애플리케이션의 존재여부를 탐지해, 애플리케이션이 발견되면 작동을 멈춘다.

에릭 호(Eric Hoh) 파이어아이 아태지역 사장은 “스파이 행위는 전혀 새로울 것이 없지만, 최근에는 온라인상에서 점점 증가하는 추세이며, 특히 동남아시아 지역에서 빈번히 발생한다”며 “동남아시아의 경제적 영향력이 커지고 남중국해를 둘러싼 긴장이 가속화됨에 따라 동남아시아 지역 내 정부 기관 및 기업들은 타깃 사이버 공격에 대비해야 한다”고 덧붙였다.

싱텔의 기업 데이터 및 매니지드 서비스 부문 전무인 윌리암 우(William Woo)는 “이번 보고서는, 동남 아시아 지역 내 모든 종류의 산업과 기관을 대상으로 행해지고 있는 사이버 공격의 발생 빈도와 공격 수단의 정교함을 잘 보여주고 있다. 따라서 다른 지역에 비해 더 사이버 위협에 노출돼 있는 동남아시아의 기업들은 사이버 공격에 대응하는 방어 체계를 더욱 보강해야 한다. APT공격이 평균적으로 발생 205일 이후에 탐지되는 것을 고려할 때, 기업들은 자신들의 자산과 고객 그리고 평판을 보호하기 위해 싱텔의 사이버 디펜스 매니지드 서비스(cyber defense managed service) 같은 선제적인 조치를 취해야 한다”고 말했다.

<김동기 기자>kdk@bikorea.net