(2-①)국가가 후원 ‘어용 해킹 그룹’-“날로 크게 증가”

[애플경제 전윤미 기자]  중국, 러시아, 이란, 북한 등은 정부가 사이버공격자들을 은밀히 후원하며, 스파이 활동을 하게 하는 대표적인 나라들이다. 두문자를 따서 국제사회에선 이들을 ‘CRINK’로 부른다. ‘CRINK’는 국제 사이버안보의 공적 1호로 꼽힐 만큼 악명이 높다. 그러나 최근엔 이들 못지않게 정부를 배후로 하며 간첩활동이나 해킹을 일삼는 ‘어용 사이버공격 그룹’들이 더욱 늘어나고 있어 우려를 사고 있다.

‘CRINK’ 중에서 비교적 활동이 적었던 이란 정부 후원 그룹의 움직임이 새삼 두드러진 것도 최근의 특징이다. 또 터키와 베트남 역시 이들 정부를 배후로 한 어용 사이버 공격자들의 활동이 부쩍 눈에 띄고 있다. 최근 글로벌 사이버보안업체인 사이잭스(Cyjax), 트렌드마이크로(TrendMicro), 엑스트라홉(ExtraHop), 아미스(Armis) 등이 전하는 소식들을 종합해보면, 금년 들어 특히 이들 ‘신흥’ 어용 사이버공격 그룹의 공격이 기승을 떨고 있다.

신흥 어용그룹들 민간 부문도 활발히 공격

‘어용 사이버공격’ 그룹들은 주로 타국의 에너지 시설이나 상하수도, 금융, 제조업, 국방 등 중요 인프라를 표적으로 삼아 민감한 비밀을 훔치고 피해를 입히곤 했다. 그러나 최근 이들 신흥 집단들이 가세하면서 공격 대상은 더 광범위하고 복잡해졌다. 기존 ‘CRINK’의 경우 주로 상대국 정부나 공공시스템 공격에 주력하는 반면, 이들 신흥 집단들은 민간 기업과 산업 부문으로 대상을 넓히고 있다. 이들은 연구 기관, IT 서비스 제공업체, 미디어 회사 등을 공격하기도 한다.

보안업체 ‘사이잭스’ 등은 그 중 터키, 베트남, 파키스탄 정부를 배후로 최근 발호하고 있는 사이버 공격 집단들에 특히 주목하고 있다.

터키 정부 후원 ‘SEA-TURTLE’

터키 정부를 배후로 한 ‘SEA-TURTLE’도 그 중 하나다. 이는 최근 네덜란드의 통신, 미디어 및 기술 회사를 공격 대상으로 삼았다. 마이크로소프트가 자체 기술로 추적한 결과, 이 집단은 간첩 활동을 통해 타국의 정치․경제적 정보를 수집하고 있는 것으로 알려졌다.

이는 시간이 지나면서 활동 양상도 변하고 있다. 초창기인 2017년부터 2019년 무렵만 해도 ‘SEA-TURTLE’은 주로 중동과 북아프리카를 대상으로 DNS 하이재킹을 시도했다. ‘사이잭스’는 “그 과정에서 주로 사용자 트래픽을 공격자가 제어하는 인스턴스로 리디렉션하고, 유효한 암호화 인증서를 탈취해 조직에 대한 액세스 권한을 얻는 수법을 구사하곤 했다”고 전했다.

그러나 나중에 이 그룹은 ‘SnappyTCP’라는 변종 악성 코드를 사용하기 시작한 것으로 밝혀졌다. 이를 간파했던 컨설팅기업 PwC는 “공격 목표 대상으로 유럽을 추가하면서 변종 코드로 네덜란드의 리눅스 기반 시스템을 손상하기도 했다”고 밝혔다. 또한 비정부 조직을 표적으로 삼고 터키와 적대적 관계인 ‘쿠르드 노동자당’ 등 쿠르드족의 정치적 단체와 연결된 공공 및 민간 단체들의 기밀 정보를 훔치기도 했다.

베트남 정부 후원 ‘오션 로터스’

또 다른 주목할만한 위협적인 공격자는 배트남 정부를 배후로 한 사이버공격 그룹 ‘오션로터스’(OceanLotus)다. APT32, SeaLotus, CanvasCyclone, CobaltKitty 등등의 별칭으로 불리기도 하는 오션로터스는 2012년부터 활동해오긴 했다. 최근 그 활동 빈도가 더욱 심해지면서, 특히 인권단체나 연구 기관 등 베트남 정부가 감시 대상으로 삼은 조직들을 염탐하는데 앞장서고 있는 것으로 알려졌다. 또 ‘코로나19’ 기간에는 중국 정부를 표적으로 삼기도 한 것으로 추정된다.

파키스탄 정부 배후로 한 ‘APT36’

파키스탄 정부를 배후로 둔 APT36도 주목받고 있다. 이는 주로 남아시아에서 간첩 작전을 수행하고 있다. 이 그룹은 특히 인도 정부의 고위급 인사와 파키스탄 내 정치적 반대 세력이 주요 타깃으로 삼는다. 이들은 소셜 엔지니어링으로 대상을 속여 안드로이드 기기나 컴퓨터에 원격으로 액세스 코드(트로이 목마(RAT))를 설치, 데이터를 몰래 훔치곤 한다.

‘CRINK’ 공격자들도 더욱 기승

그런 가운데 기존의 ‘CRINK’ 공격자들도 진화하고 있다. 중국, 러시아, 북한에 비해 ‘CRINK’ 공격자 중 비교적 활동이 소극적이었던 이란의 사이버공격 그룹의 움직임이 부쩍 늘어난 것이 최근의 추세다. 이들은 타국의 IT기술이나 인프라, 정부를 포함한 공공부문을 대상으로 공격을 가하는 빈도가 크게 늘어나고 있다. 특히 ‘ImperialKitten’이니 ‘MuddyWater’니 하는 이란의 어용 사이버공격 그룹들이 대표적이다. 이들은 초기 액세스를 위해 스피어 피싱 수법을 즐겨 사용하는 것으로 알려졌다.

스피어 피싱은 중국에 거점을 둔 새로운 사이버공격 그룹 ‘Earth Krahang’도 즐겨 쓰는 것으로 전해졌다. 역시 중국 정부가 후원하는 이 그룹은 동남아시아의 여러 정부 기관과 유럽, 미국, 아프리카의 기업이나 단체를 대상으로 스피어 피싱을 펼치고 있다.

사이버보안업체 ‘트렌드 마이크로’는 지난 2022년부터 ‘Earth Krahang’을 추적해온 것으로 전해졌다. ‘트렌드 마이크로’는 최근 블로그 게시물에서 “이 그룹은 추가 공격을 시작하기 위해 손상된 정부 네트워크를 선호한다”면서 “특히 무차별 엑세스를 위해 감염된 공용 서버에 VPN(가상 사설망) 서버를 구축하는 수법을 즐겨 쓴다”고 밝혔다.

북한도 결코 빠지지 않는다. 국제사회에서 악명이 자자한 ‘라자루스’(Lazarus)가 대표적이다. 이는 지난 2014년 소니를 해킹한데 이어, 2017년엔 워너크라이에 바이러스를 심어 국제적 이슈가 되기도 했다. 한국을 포함한 서방 세계의 기업들에게 가장 큰 위협이 되고 있는 그룹이다. 또한 잘 알려지지 않았을뿐 또 북한 정보기관인 총정찰국의 후원하에 스피어 피싱을 주된 무기로 삼는 사이버 간첩 그룹 ‘킴수키’(Kimsuky)도 경계대상으로 꼽힌다.