카스퍼스키 "APT 그룹, 아태 지역 국가 기밀 노린다”
APT(지능형 지속 위협) 그룹이 여전히 사이버 첩보 활동의 일환으로 아시아태평양 지역 국가 기밀 및 외교 문서 등을 타깃으로 한 공격에 나서고 있다. 28일 사이버 보안 기업 카스퍼스키(지사장 이효은)에 따르면 카스퍼스키 GReAT(글로벌 리서치 및 분석팀) 누신 샤밥 수석 보안 연구원은 이날 아시아태평양 지역 정부의 국가 기밀, 군사 정보 등 다양한 고급 데이터를 끈질기게 노리는 주요 사이버 첩보 그룹들을 공개했다. 그는 “아시아태평양 지역은 긴장된 지정학적 상황으로 인해 항상 사이버 첩보 활동의 중심지였다. 여기에 빠른 디지털 및 경제 발전이 더해져 복잡한 위협 환경이 조성되고 있으며, 이는 고위급 기관 및 기업뿐만 아니라 주요 인프라 시설을 겨냥하는 다양한 위협 행위자들에 의해 형성되고 있다”고 설명했다. 실제로 지난해부터 SideWinder, Spring Dragon 등 그룹들이 현재까지도 공격을 이어오고 있는 것으로 확인됐다. SideWinde APT 그룹은 정교한 공격 플랫폼과 스피어피싱을 통해 아시아 태평양 지역에서 정부, 군사, 외교 기관을 겨냥한 공격을 이어오고 있다. 이에 '아시아태평양 지역에서 가장 공격적인 위협'으로 꼽히고 있다. 앞서 2024년 3월 카스퍼스키 GReAT 전문가들은 이 그룹이 남아시아 전역의 원자력 발전소 및 에너지 시설에 대한 공격에 집중하고 있다는 사실을 밝혔낸 바 있다. SideWinder는 탐지를 피하기 위해 도구를 빠르게 적응시키며 지속적인 위협으로 남아 있다. 원자력 기반시설을 겨냥할 때는 규제 또는 시설 운영 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용하는 것으로 알려졌다. Spring Dragon의 경우 베트남, 대만, 필리핀에 관심을 가지며, 스피어피싱, 익스플로잇, 워터링 홀 공격(Watering Hole Attack)을 통해 피해자의 시스템에 주로 침투한다. 2023년 카스퍼스키 GReAT 전문가들이 발견한 Tetris Phantom이라는 APT 그룹은 2024년부터는 BoostPlug와 DeviceCync(ShadowPad, PhantomNet, Ghost RAT을 감염시키는 도구)라는 두 개의 공격 도구를 추가했다. 국내에서도 위협이 감지된다. 올해 초 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 'Operation SyncHole'이라는 라자루스의 새로운 캠페인을 포착했다. 이 작전은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것으로, 조사 중에 인노릭스 에이전트(Innorix Agent) 소프트웨어에서 제로데이 취약점도 발견됐다. 최소 6곳 이상의 한국 주요 기업이 타깃이었으며, 실제 피해 기업 수는 더 많을 수 있다는 게 카스퍼스키 측의 분석이다. 카스퍼스키 이효은 한국지사장은 “단순히 금전적 이익만을 목적으로 하는 일반적인 사이버 범죄와 달리, 핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 지니고 있다”며 “아태지역의 공격 양상을 볼 때, 이는 단순한 데이터 탈취가 아니라 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도다. 따라서 한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계를 고도화하고, 위협 인텔리전스 자원을 심층적으로 통합하며, 끊임없이 진화하는 공격 기법에 대응하기 위해 동적 방어를 도입함으로써 보안의 최후 방어선을 지켜야 한다”고 말했다.
