글로벌 보안업체 파이어아이가 중국 사이버 공격 그룹이 한국 에너지기업을 공격한 정황을 포착했다.

아시아 태평양 지역 국가에 대한 안보와 첨단기술, 사회간접자본 관련 공격이 확대되는 가운데 보안 강화가 필요하다는 지적이다.

파이어아이는 25일 서울 그랜드 인터컨티넨탈호텔에서 기자간담회를 열고, 아태지역 사이버 해킹 그룹을 추적한 보고서 ‘맨디언트 M-트렌드 보고서’를 공개했다.

라이언 웰란 파이어아이 운영 전략부서 총괄이사는 “중국이 배후에 있는 템프틱과 톤토 팀이 한국과 일본 에너지 산업을 주요 공격 대상으로 삼고 있다”면서 “특히 최근 톤토팀이 한국 에너지기업을 대상으로 시도한 공격을 파이어아이가 탐지해 차단했다”고 발표했다.

라이언 웰란 이사는 “톤토팀 공격 차단 과정에서 공격자 정보를 수집할 수 있었다”면서 “침입을 시도한 멀웨어는 컨트롤 앤 커맨드(명령 제어 서버)를 식별해 제어를 시도했다”고 밝혔다.

그는 “중국 후원을 받는 두 개 단체가 에너지 분야라는 기간망에 대한 공격을 지속하는 상황이며, 특히 한국과 일본을 공격 대상으로 삼는 집단이 다시 등장했다는 사실이 중요하다”면서 “중국 내에서 국가 기간시설 공격에 대한 관심이 높아진다는 증거가 될 수 있다”고 지적했다.

파이어아이 측은 중국과 북한, 러시아 같은 국가에서 아시아 태평양 지역 국가에 대한 보안공격을 감행하는 것에 지정학적 요소가 작용한다고 분석했다.

라이언 웰란 이사는 “예로 중국 후원을 받는 광범위 공격집단 APT40은 2013년에는 세계 방위산업과 해운조선 분야를 집중 공격했다”면서 “하지만 최근에는 중국 정부의 ‘일대일로’ 정책과 관련한 여러 가지 지원 활동을 벌이는 정황이 포착됐다”고 설명했다.

라이언 웰란은 “일대일로 같이 중국의 전략적 국익을 보호하기 위한 방향으로 공격 타겟이 변하는 모습이 나타난다”면서 “만일 한국 기업이나 정부가 중국의 일대일로 참여 기업과 경쟁관계에 위치한다면, 중국발 공격에 노출될 위험이 높아질 수 있다”고 조언했다.

북한의 사이버 공격에 대한 사례도 소개했다.

라이언 웰란 이사는 “APT37은 북한 정권의 전략적 의도를 지원하는 사이버 첩보활동 집단”이라며 “북한과 미국 정상회담이 가까워졌을 때, 이들은 기업과 일반인들을 대상으로 한미우호협회를 사칭해 ‘특별 좌담회 초청’ 메일을 보내 피싱 공격을 시도했다”고 밝혔다.

해당 메일 문서를 여는 순간, 멀웨어가 설치되고, 개인정보를 탈취할 수 있는 환경이 조성된다고 파이어아이 측은 설명했다.

그는 “북한의 피싱공격은 특정 지역 내 여러 상황들을 공격자들이 전략적으로 무기화한 사례”라며 “지정학적인 요소는 사이버범죄나 첩보활동에서 취약성을 높일 수 있어, 늘 주의가 필요하다”고 지적했다.

한편 중국과 북한 해킹 같은 지정학적 위험에 대응하려면 내부 인프라를 조작하는 운영기술(OT)과 IT인프라에 대한 통합 보안 관리가 필요하다고 조언했다.

라이언 웰란 이사는 “OT와 IT 인프라는 완전히 망이 분리돼 있다고 착각하지만 결국 업무를 진행하려면 어느 한 지점에서는 연결될 수밖에 없다”면서 “기업과 기관이 IT와 OT를 완전히 분리했다고 생각하는 오판에서 벗어나는 것이 우선 중요하며, 두 가지 모두를 아우를 수 있는 통합 보안으로 접근해야 한다”고 설명했다.

[테크M=김태환 기자(kimthin@techm.kr)]