Photo Image

한반도를 중심으로 중국과 러시아 사이버 조직 활동이 활발하다. 그동안 많이 알려진 북한 조직 외에 중국, 러시아 관련 그룹이 한국 정책 상황을 주시한 스파이 활동에 한창이다.

9일(현지시간) 벤자민 리드 파이어아이 사이버첩보 분석 선임연구원은 “한국을 대상으로한 사이버전은 단순히 북한으로만 한정되지 않는다”면서 “중국은 2010~2011년을 시작으로 정책 정보를 수집하기 위해 해킹을 시도했다”고 말했다. 이어 “러시아, 이란 등은 한국 석유시장 등 경제분야 정보 탈취를 목적으로 해킹 활동을 벌인다”고 덧붙였다.

실제 파이어아이는 올해 5월 초 중국 주도 해킹조직으로 알려진 탬프틱(TEMP.Tick)의 한국공격을 발견했다. 주 공격대상은 공공, 민간 조직이다. 러시아 공격 그룹 털라 팀(Turla Team)도 한국을 조준했다. 4월 악성 자바스크립트 코피루왁(KOPILUWAK)을 통해 한국을 공격했다.

리드 연구원은 “국가주도 해킹조직은 최근 중국이 가장 활발하며 단일 팀으로 러시아 주도 'APT28'이 가장 두드러진다”고 말했다.

여전히 한국에 가장 많은 공격을 일삼는 곳은 북한 해킹 조직이다. 금융기관을 집중 공격하는 조직 외 각국 싱크탱크, 인권활동 관련 정보수집 등 다양한 분야에 걸쳐 뿌리내렸다. 최소 수 백명 이상 활동한다.

리드 연구원은 “최근 발표한 APT37, 38 그룹 외 다른 성격을 갖는 두개 북한 조직 활동을 확인했다”면서 “어떤 조직이라 정확하게 명명할 수는 없지만 싱크탱크, 인권활동과 관련한 업무를 수행하는 것으로 파악했다”고 말했다. 이어 “해커 활동이 동시다발적으로 다양한 곳에서 행해지는 만큼 수 백명 이상 활동하고 있을 것”이라고 말했다.

북 해커조직은 세계를 상대로 사이버전을 벌이는 중국, 러시아와 달리 더 공격적이며 광범위게 활동한다. 최근 발표한 APT38 그룹은 금융기관을 약탈하고 북한 정부가 해외에서 경제 활동을 할 때 정보수집 역할을 수행한다.

Photo Image

리드 연구원은 “북 해커는 공격하고자 하는 대상에 맞춤형 공격을 한다”면서 “APT38그룹은 국제은행 간 자금결제 통신망(스위프트·SWIFT)에 침투해 정찰, 악성코드 개발, 증거인멸 등 파괴활동으로 이어지는 용의주도함을 보인다”고 말했다.

국가주도 사이버전은 정치상황에 따라 변할 것이라고 전망했다. 국가 기간 시스템이 무너지는 것을 대비한 시나리오 훈련 필요성을 제기했다.

그는 “사이버 전쟁은 단순 악성코드 종류와 관계있는 것이 아니라 정치 목적에 따라 공격 감행 정도, 방식 등이 다르다”면서 “비밀번호를 주기적으로 바꾸고 소프트웨어 업데이트 등을 생활화해야 한다”고 조언했다. 이어 “국가 기간 시스템이 무너진 것을 대비한 시나리오 훈련 등을 통해 사전 대비해야 한다”고 덧붙였다.


워싱턴D.C=


정영일기자 jung01@etnews.com