"중국 사이버 스파이, 총선 앞둔 캄보디아 공격"
2018.07.12 오전 11:15
파이어아이, '템프페리스콥' 활동 조사
[아이뉴스24 김국배 기자] 중국 사이버 첩보조직이 오는 29일 총선을 앞둔 캄보디아에 사이버 위협을 가하고 있다는 분석이 제기됐다.

미국 사이버보안 업체 파이어아이는 캄보디아 선거를 총괄하는 선거관리위원회가 중국 사이버 첩보조직 '템프페리스콥'의 공격 대상이 되고 있다고 12일 밝혔다.

파이어아이는 캄보디아는 과거 중국의 든든한 후원자였으나, 최근 말레이시아 정권교체 등의 영향이 캄보디아를 감시망에 포함하는 계기가 됐을 것으로 추정했다.

파이어아이 측은 "이런 활동이 중국 정부에 캄보디아 선거와 국정 운영에 대해 넓은 가시성을 제공할 것으로 예측한다"고 말했다.



파이어아이는 이번 사건에서 템프페리스콥이 통제하는 것으로 의심되는 세 개의 서버를 조사했다. 그 결과 기존에 발견한 악성코드인 '에어브레이크'와 '스캔박스'를 비롯해 새로운 악성코드 '대드보드', '이블테크' 등이 확인됐다.

중국 기반 사이버 첩보조직이 주로 사용하는 스캔박스는 정찰 활동을 돕는 프레임워크다. 스캔박스가 심어진 웹사이트를 방문하는 이용자의 시스템을 감염시킨다.


스캔박스가 활성화된 서버는 현재 캄보디아의 정치 캠페인에 관한 기사를 제공했다. 주로 러시아와 나토(NATO) 등 미국과 동아시아 간 지정학적 수익구조와 관련된 대상을 상대로 작성됐다는 게 파이어아이 측 설명이다.

파이어아이가 템프페리스콥을 중국 기반 조직으로 확신하는 근거는 제어판 액세스 로그에서 발견된 정보를 볼 때 공격자가 중국에 있으며, 중국어로 설정된 컴퓨터를 사용한다는 점이다.

또한 서버 로그 확인 시 공격자가 소프트웨어에 접속해 피해자의 장치에 악성코드를 심기 위해 사용한 IP주소들이 기록돼 있는데, 이중 '112.66.188.xx'는 중국 하이난의 IP주소로 확인됐다는 것이다. 나머지 IP는 모두 가상공간의 개인 서버를 사용했으나, 중국어로 설정된 컴퓨터를 통해 로그인했다는 사실을 확인했다.

늦어도 2013년부터 활동한 것으로 보이는 템프페리스콥은 그간 주로 해운 산업 분야를 공격해왔다.

파이어아이는 "이 위협이 인텔리전스 수집 목적인지, 더욱 복잡한 사이버 공격을 위한 준비인지 정확히 알기에는 아직 정보가 부족하다"며 "하지만 구체적인 목적을 막론하고 이번 이슈는 전세계를 통틀어 가장 최근에 생긴 공격적인 민족국가 선거 공격의 표본"이라고 평가했다.

/김국배기자 vermeer@inews24.com
이 기사에 질문하기!

관련기사