韓·獨·日·파이브 아이즈, “中 해커조직 위협 고조”

Photo Image
ⓒ게티이미지뱅크

한국과 미국, 일본 등 8개국이 최근 활개를 치고 있는 중국 해킹그룹에 경고음을 울렸다. 중국 배후 해킹그룹 'APT40'이 호주 등에서 공공과 민간을 가리지 않고 전방위적으로 사이버 공격을 벌이고 있어 경각심을 높이기 위해서다.

국가정보원은 최근 파이브아이즈(5-Eyes)·일본·독일 사이버안보기관과 함께 'APT40 사이버보안권고문'을 발표했다. 파이브아이즈는 미국 주도로 영국·캐나다·호주·뉴질랜드가 참여하는 정보 공유 동맹이다.

앞서 호주 ASD는 지난 9일(현지시간) APT40이 호주 정부와 민간 네트워크를 지속해서 노리고 있다고 발표한 바 있다.

이번 권고문엔 우리나라 국정원을 비롯해 호주 신호정보부 사이버안보센터(ASD's ACSC), 미국 사이버안보인프라보호청(CISA)·국가안보국(NSA)·연방수사국(FBI), 영국 국가사이버안보센터(NCSC-UK), 캐나다 사이버안보센터(CCCS), 뉴질랜드 국가사이버안보센터(NCSC-NZ), 독일 연방정보부(BND)·연방헌법보호청(BfV), 일본 내각사이버보안센터(NISC)·경찰청(NPA) 등이 이름을 올렸다.

중국 하이난성 하이커우에 기반을 둔 APT40은 중국 정보기관인 국가안전부(MSS)와 하이난 국가안보부로부터 임무를 받은 것으로 알려졌다. 크립토나이트 판다(Kryptonite Panda), 깅엄 타이푼(GINGHAM TYPHOON), 레비아탄(Leviathan), 브론즈 모호크(Bronze Mohawk) 등으로도 불린다.

APT40은 사용자를 속여 악성코드를 심는 피싱 방식보다 취약점을 고리로 한 공격을 선호하는 것으로 파악됐다.

이들은 새로운 취약점에 대한 개념증명(PoC)을 빠르게 변환·적용하고 관련 취약점이 있는 인프라에 즉시 침투할 수 있는 역량을 갖췄다. 타깃으로 삼은 국가의 네트워크 등을 수시로 탐색하고 공격 기회를 엿보다가, 오래되고 수명이 다 됐거나 더 이상 관리하지 않은 네트워크 장비의 취약점을 악용해 공격한다.

로그4제이(Log4J), 아틀라시안 컨플루언스, 마이크로소프트 익스체인지 등 이미 널리 알려진 소프트웨어 취약점도 APT40의 먹잇감이다. 이들은 새로운 취약점이 공개된 후 몇 시간 또는 며칠 내에 공격 수단으로 악용하는 것으로 보인다. 2017년부터 이러한 방식을 통해 성공을 거둬왔다.

존 헐퀴스트 구글 클라우드 맨디언트 인텔리전스 총괄 애널리스트는 “APT40은 아시아·호주·미국·유럽의 타깃 조직 정보를 탈취하기 위해 제로데이 취약점과 해킹된 라우터를 사용해 보안 감시망을 피하는 등 기법을 사용하며 성과를 냈다”며 “APT40 공격을 방어하기 위해서는 조직도 이들과 같은 속도로 대응해야 한다”고 말했다.

Photo Image
'APT40 사이버보안권고문'에 이름을 올린 사이버안보기관 명단.

조재학 기자 2jh@etnews.com