검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'중국 해킹'통합검색 결과 입니다. (26건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

中 지원 받는 'APT41' 사이버 공격 심화…피해 산업·국가는?

중국 정부가 지원하는 사이버 공격 그룹 'APT41' 때문에 피해를 입은 곳들이 이탈리아, 스페인, 대만, 터키, 영국에 많이 분포돼 있는 것으로 파악됐다. 이 지역서 활동하는 물류, 해운, 미디어 산업이 주로 피해를 입었다. 맨디언트는 구글 위협 분석 그룹(TAG)과 손잡고 중국 연계 공격 그룹 APT41의 활동 연구 결과를 26일 발표했다. 이 공격 그룹은 중국 지원으로 스파이 활동을 지속해 왔다. 국가 통제 밖의 금전적 목적의 공격을 수행하는 행보도 보였다. APT41은 최근 사이버 공격을 한층 고도화한 것으로 나타났다. 2023년부터 특정 산업이나 기업 네트워크에 침투해 무단으로 민감한 데이터를 탈취하는 방식이다. 더스트트랩(DUSTTRAP)을 활용한 것이 대표적이다. 더스트트랩은 악성 파일을 암호화함으로써 메모리에서 실행하는 데이터 탈취법이다. 이는 공격자 흔적을 최소화할 수 있다. 암호화된 파일은 APT41이 통제하는 인프라와 통신할 수 있다. 해킹당한 구글 워크스페이스 계정과 통신할 수도 있다. 이에 구글은 이런 무단 접근을 하지 못하도록 시스템을 수정한 바 있다. APT41은 데이터베이스 설정 도구로 오라클 데이터베이스에서 데이터를 추출한 것도 드러났다. 파인그로브(PINEGROVE)를 통해 민감한 데이터를 대량 유출해 원드라이브로 전송했다. APT41은 특정 산업과 지역을 공격 대상으로 삼았다. 피해 산업은 글로벌 해운을 비롯한 물류, 미디어, 엔터테인먼트, 자동차 분야다. 지역으로는 이탈리아, 스페인, 대만, 터키, 영국이다. 구체적으로 다수 해운·물류 산업 피해 기업은 주로 유럽과 중동 지역 회사였다. 미디어 및 엔터테인먼트 산업의 경우 모든 피해 기업이 아시아 지역에 몰려 있었다. 맨디언트는 APT41이 싱가포르 등 다른 국가에 있는 유사 기업들에 대한 정찰 활동을 수행한 점도 포착했다. APT41이 공격 목표를 확대하고 있다는 징표다. 맨디언트 관계자는 "회사들은 소프트웨어(SW)와 시스템을 최신 상태로 유지하고 강력한 비밀번호와 다중 인증(MFA)을 시행해야 한다"며 "정기적으로 데이터를 백업하는 등 포괄적이고 다층적인 보안 접근 방식을 사용할 것을 권장한다"고 공격 예방법을 설명했다.

2024.07.26 10:44김미정

"中 해커 활개친다"…미국·영국·뉴질랜드 이어 공격 받은 국가는?

미국·영국·뉴질랜드에 이어 호주도 중국 정부와 연계된 해커 집단으로부터 사이버 공격을 받은 것으로 알려졌다. 계속된 의심에 중국은 근거도 없이 모함한다고 반발하는 분위기지만 점차 해킹 사례가 빈번해지고 있어 각국이 사이버 안보를 위한 투자를 대폭 늘려야 한다는 지적이 나온다. 10일 구글 클라우드 맨디언트에 따르면 호주 사이버 보안 담당 기관 호주신호국(ASD)은 지난 9일 중국 정부 지원을 받는 해커 집단이 호주 정부와 민간 네트워크를 지속해서 노리고 있다고 경고했다. 이들은 맨디언트가 'APT40'으로 명명한 공격 그룹인 것으로 밝혀졌다. APT(Advanced Persistent Threat·지능형 지속위협)는 특정 국가나 기관을 장기간에 걸쳐 해킹하는 행위로, 국가가 배후로 의심되는 APT 조직에는 식별을 위해 숫자를 붙인다. APT29는 러시아, APT31과 APT40는 중국 국가안전부와 연계돼 있는 것으로 알려졌다. ASD는 "(APT40이) 호주에서 관심 있는 네트워크에 대한 정찰을 정기적으로 수행하며 표적을 손상할 기회를 찾고 있다"며 "민감한 컴퓨터 네트워크와 연결돼 있지만 오래되고 잘 사용하지 않는 장치들이 표적"이라고 말했다. APT40는 지난 2021년에도 뉴질랜드를 상대로 사이버 공격을 감행한 것으로 드러났다. 뉴질랜드 통신보안국(GCSB)에 따르면 ATP40은 뉴질랜드 의회 자문실과 사무처를 대상으로 공격한 것으로 파악됐다. 다만 해커 집단이 여러 데이터를 검색했으나 민감하거나 전략적인 정보에는 접근하지 못했다. 또 뉴질랜드 국가사이버보안센터(NCSC)가 이들의 활동을 억제하고 차단해 큰 문제가 되진 않았다. 미국, 영국도 중국 정부와 연계된 해커 집단으로부터 사이버 공격을 받은 것으로 파악돼 올 초 관련자들을 제재했다. 특히 미국 국무부는 지난 3월 "중국 방첩 기관인 국가안전부와 연결된 이른바 'APT31'이 사이버 위협 그룹"이라며 "(이들이) 미국 정부 당국자, 정치인, 선거 캠프 관계자, 다양한 미국 경제 및 국방 관련 단체와 당국자 등을 노렸다"고 말했다. 이에 미국 법무부는 니가오빈, 웡밍, 청펑 등 7명을 이번 사건 관련자라며 컴퓨터 사기 혐의로 기소했다. 미국 재무부는 이들을 포함해 우한 샤오루이즈 과학·기술 유한회사를 미국 중요 인프라를 겨냥한 악의적 사이버 활동 혐의로 제재했다. 영국도 이름을 특정하지 않은 중국의 국가 연계 해커 그룹이 2021~2022년 영국 선거관리위원회 해킹의 배후라고 지목했다. 또 이들이 수 백만 명의 선거인 명부 사본에 접근했다고 주장했다. 더불어 이들이 중국에 비판적 입장을 보인 영국 의회 의원들에 대한 정찰 활동을 시도한 것으로 보고 관련자 2명과 1개 기업을 제재했다. 존 헐퀴스트 구글 클라우드 맨디언트 인텔리전스 총괄 애널리스트는 "5년 전 맨디언트가 공식적으로 APT40를 공격 그룹으로 분류하고 명명한 이후로 이들은 지금까지 크게 발전해 왔다"며 "이들은 방어 조직의 탐지를 피하고 아시아, 호주, 미국 및 유럽의 타깃 조직으로부터 정보를 탈취하는 데 도움이 되는 새로운 전술을 채택했다"고 설명했다. 그러면서 "이들은 제로데이 취약점과 해킹된 라우터를 사용해 보안 감시망을 피하며 이러한 그들의 노력은 성과를 거두고 있다"며 "APT40의 공격을 방어하기 위해서는 각국 관련 조직도 이들과 같은 속도로 대응해야 한다"고 덧붙였다.

2024.07.10 16:54장유미

"국제 정세타고 해킹 공격 증가"...시급해진 SW 공급망 보안 강화

중국, 러시아 등 반서방진영을 중심으로 한 변종 해킹 공격이 기하급수적으로 늘어나는 가운데 국내 소프트웨어(SW) 공급망 보안을 강화해야 한다는 지적이 높다. 하지만 정책과 기술 등 해결해야할 문제가 산적한 상황이다. 1일 국가정보원에 따르면 지난해 국내 공공분야에서 탐지된 국제 해킹조직의 공격 시도는 전년 대비 36% 증가해 하루 평균 약 162만 건에 달하는 것으로 집계됐다. 반서방진영의 대표 격인 중국의 해킹 공격도 중요성을 감안하면 21%로 증가하는 추세인 것으로 조사됐다. 중국, 러시아가 속한 브릭스(BRICS)가 주요 7개국(G7)의 대항마로 떠오르면서 서방 진영을 겨냥한 해킹 공격은 수단과 방법을 가리지 않고 국가 핵심 인프라에 침투 중인 실정이다. 당장 이들 국가가 한국을 정조준하고 있지는 않지만 국가 이해관계에 따라 언제든지 국내를 표적으로 삼을 가능성도 배제하기 어렵다. 이 때문에 국내 SW 공급망 보안을 하루라도 빨리 강화해야 한다는 목소리가 높다. 당장 시급한 건 '소프트웨어 구성명세서'(S-BOM) 제도 안착이다. S-BOM은 SW의 구성요소를 설명해놓은 안내서다. 오픈소스를 비롯해 보안 작동 방식을 포괄한 내용이 담겨 있어 취약점이 발생했을 때 원인 및 복구 방안 수립에 용이하다. 이미 미국과 유럽연합(EU)은 각각 2021년과 2022년에 S-BOM 제출을 의무화하며 보안 강화벽을 세웠다. 반면 국내의 경우 아직 걸음마 상태에 불과하다. 과학기술정보통신부는 지난해 S-BOM 제출 의무화 등을 천명했지만 현재 정책 가이드라인도 수립되지 못 한 상황이다. 당초 가이드라인은 지난 3월 중 발표 예정이었지만 현재 기약 없이 순연된 상황이다. 특히 보안 취약점이 발견된 후 바로 해킹이 일어나는 일명 제로데이 공격이 늘어나면서 S-BOM은 더욱 중요해졌다. ITRC(Identity Theft Resource Center)에 따르면 지난해 보고된 제로데이에 의한 데이터 유출 건수는 3천205건으로 전년 대비 78% 증가했다. 염흥열 순천향대학교 정보보안학과 교수는 "S-BOM이 100% 대안이 될 수는 없지만 요즘은 오픈소스 SW를 많이 활용하기 때문에 어떤 부분이 취약점인 신속하고 편리하게 찾아낼 수 있다"면서 "국내 SW가 해외 시장으로 진출하려면 S-BOM 제도 안착이 필수적으로 선결돼야 할 것"이라고 진단했다.

2024.04.01 16:54이한얼

"中 배후 의심 해킹그룹 UNC5325, 볼트 타이푼 연관 증거 없어"

중국이 배후로 의심되는 해킹 공격그룹 UNC5325에 볼트 타이푼이 연관됐다는 증거는 없는 것으로 분석됐다. 맨디언트는 4일 이같은 내용을 담은 이반티(Ivanti) 제로데이 취약점 악용 3차 보고서를 공개했다. 맨디언트는 본 보고서에서 UNC5235가 이반티 커넥트 시큐어(Ivanti Connect Secure) 어플라이언스에 대한 자세하고 포괄적인 이해력과 상당한 지식을 가지고 있다고 설명했다. 맨디언트 이반티 제로데이 취약점 3차 보고서에 따르면 UNC5325는 중국 사이버 스파이 공작원으로 의심된다. 다만 중국 지원을 받는 해킹 그룹 볼트 타이푼과 연관됐다는 증거는 찾지 못 했다. 또 UNC5325에서 배포한 멀웨어 중 일부는 UNC3886에서 사용하는 멀웨어와 코드가 겹치는 것으로 나타났다. UNC3886는 중국 사이버 스파이 그룹이다. 다만 이 역시 추측일 뿐 확신할 만한 상황은 아니라고 맨디언트 관계자는 전했다.

2024.03.04 13:41이한얼

국경 넘는 해킹 공격에 국가간 사이버전쟁 '격화'

최근 국경을 넘는 사이버 해킹 공격이 지속 발생하는 추세다. 미국과 중국을 중심으로한 사이버 전쟁이 격화하는 한편 국내에서도 북한이 배후세력으로 의심되는 미상의 해커조직이 개인정보를 침투하려는 정황이 드러나고 있다. 지난 7일 미 국토안보부 산하 사이버인프라보안국(CISA)은 7일 영국과 캐나다, 호주, 뉴질랜드 정보 당국과 공동으로 작성한 보고서를 발표했다. 해당 보고서에 따르면 중국이 배후로 의심되는 볼트 타이푼(Volt Typhoon)이 미 본토를 비롯해 괌을 포함한 영토에서 통신, 에너지 등 핵심 IT 인프라에 해킹 공격을 한 것으로 전해졌다. 앞서 볼트 타이푼은 5년 전부터 미국의 IT 인프라에 강도 높은 공격을 진행해왔다. 특히 지난해에만 중국군 산하 해킹 부대 20곳이 생활과 밀접한 전기, 수도 등 핵심 인프라에 침투한 사실도 드러났다. 미 당국은 최근 이같은 중국의 해킹 공격을 무력화하기 위한 작전에 돌입한 상황이다. 로이터통신은 미 법무부와 연방수사국(FBI)이 해킹 공격 수사를 비롯해 차단 작전에 감행했다고 전했다. 하지만 중국은 오히려 미국이 전 세계에 해킹 공격을 시도한다며 항변하는 상황이다. 왕원빈 중국 외교부 대변인은 보고서가 발표되자 같은날 정례브리핑을 열고 "보고서상세한 사례와 증거를 통해 미국 정부가 자국 패권과 독점적 지위에 의존해 사이버 공간의 국제 규칙과 질서를 파괴하고 평화와 안전을 위협한다"면서 "미국 정부는 전 세계 기본 인터넷 자원을 통제하고 다른 나라에 대한 기습적인 네트워크 단절을 통해 사회 안정과 경제 안보를 심각하게 파괴한다"고 반박했다. 국내 역시 사이버 공격에서 안심할 수 없는 상황이다. 국가정보원에 따르면 지난해 전체 해킹 공격 건수 중 북한발이 80%로 가장 많은 비중을 차지했다. 특히 하루에만 162만 여 건의 사이버 공격이 탐지될 정도로 전방위적인 해킹 시도가 감행되고 있다. 북한은 방산기술 절취도 시도하고 있다. 북한은 지난 2020년부터 2023년까지 우리나라를 포함해 전세계 최소 25개국 대상 방산 분야를 공격한 바 있다. 지난 5일엔 미상의 해커조직이 다크웹·텔레그램 등을 통해 국가·정부 국가·공공기관 정부 서비스서비스 이용자 개인정보를 불법 유통하려는 정황도 포착됐다. 이번에 유출된 대민서비스 계정만 1만3천여개에 달한다. 정보 당국은 해킹조직을 특정하지 않았지만 북한이 배후세력일 가능성이 높다는 게 중론이다. 미국도 이같은 가능성에 무게감을 두고 있다. 지난 6일(현지시간) 앤 뉴버거 백악관 국가안보회의(NSC) 사이버·신기술 부문 부보좌관은 WP 주최로 열린 '인공지능(AI)의 부상' 대담에서 “북한은 미사일 프로그램 자금 조달을 위해 수십억 달러의 가상자산을 해킹하는 과정에서 일반적인 예상과 달리 최첨단 기술을 사용하고 있다”고 밝혔다.

2024.02.12 09:44이한얼

"작년 국제 해킹공격 36% 증가…80%가 북한발"

국제 해킹 조직의 국내 공공기관 공격 시도가 전년에 비해 36% 증가한 것으로 집계됐다. 또 하루 평균 공격 건수 중에선 북한발이 80%로 가장 많은 비중을 차지한 것으로 나타났다. 국가정보원은 24일 국가사이버안보센터에서 열린 기자 간담회에서 지난 해에는 하루 평균 162만 여 건의 사이버 공격을 탐지했다고 밝혔다. 국정원은 또 "사건별 피해규모·중요도·공격수법 등을 감안한 공격 피해의 심각도를 반영할 경우 북한이 68%로 가장 높았으며, 중국도 21%로 상당부분을 차지했다"고 강조했다. 이날 국정원은 북한 해킹조직이 김정은 국무위원장의 지시와 관심에 따라 공격목표를 변경하는 행태를 보이고 있다고 설명했다. 실제로 지난해 초반 김 위원장이 식량난 해결을 지시하자 북한 해킹 조직들이 국내 농수산 기관을 집중 공격해 관련 자료를 절취한 바 있다. 또 김 위원장이 해군력 강화를 강조하자 국내 조선업체를 해킹해 도면과 설계자료를 절취했고 10월에는 무인기 생산강화를 지시하자 국내외 관련 기관에서 무인기 엔진 자료를 수집한 사례를 확인했다. 북한은 방산기술 절취도 시도하고 있는 것으로 조사됐다. 국정원은 북한이 지난 2020부터 2023년까지 우리나라를 포함해 전세계 최소 25개국 대상 방산 분야를 공격한 사실을 확인했다. 그중 항공분야 공격이 25%로 가장 많았으며, 전차(17%)·위성(16%)·함정(11%) 등이 그 뒤를 이었다. 이 밖에 ▲개인 호주머니 노리는 금전 탈취 해킹 ▲IT 외화벌이 조직까지 해킹 가담 ▲북한 해커, AI활용 해킹기술 연구도 진행되고 있는 것으로 드러났다. 국정원은 중국발 사이버 공격도 예의주시해야 한다고 설명했다. 국정원은 지난해 A업체의 네트워크 장비를 악용한 공급망 공격징후를 포착했다. 중국 해커가 수년 전에 A업체의 서버를 해킹한 후 공개 소프트웨어로 위장한 악성코드를 은밀하게 숨겨놓고 오랫동안 은닉해 있다가 수년에 걸쳐 여러 고객사를 해킹한 것으로 파악됐다. 또 중국 추정 해커가 B기관이 사용중인 위성통신망에 무단 침입한 사실이 확인됐다. 해커는 위성통신 신호를 수집·분석한 뒤 정상장비인 것처럼 위장해 지상의 위성망관리시스템에 무단으로 접속한 사실도 드러났다. 중국은 사이버상에서도 친중 영향력 공작을 높이고 있다. 중국의 언론홍보 업체들이 국내 언론사로 위장한 사이트 200여개를 개설하고, 친중·반미 성향의 콘텐츠를 게시, 이를 SNS 인플루언서를 통해 확산중인 정황을 적발했다. 국정원은 올해 사이버위협 전망으로 북한은 과거 남북관계가 경색 국면일 때 수 차례 파괴적인 사이버 도발을 자행한 적이 있고 최근 북한 내부에 해킹 인프라 강화 동향이 보이고 있다고 예상했다. 뿐만 아니라 올해 국제적인 대형 선거가 있는 만큼 선거개입 및 정부 불신 조장을 위한 북중의 영향력 공작도 커질 것이라 전망했다. 백종욱 국가정보원 제3차장은 "최근 북한은 민족, 통일 단어 개념 삭제와 관련 웹사이트 대남 기구 축소·폐지를 운운하며 우리나라를 적대국으로 규정하는 등 위협 노골화하고 있다"고 밝혔다.

2024.01.24 15:00이한얼