파이어아이 "베트남 진출 기업 노리는 해커 조직 주의"

[아이뉴스24 성지은기자] 베트남에서 사업하거나 투자 예정인 외국계 기업을 노리는 사이버 스파이 그룹이 확인됐다

'APT32'라 불리는 이 조직은 베트남 정부와 동일한 이해관계를 지닌 것으로 추정되며, 특정 기업을 대상으로 정보를 탈취하기 위해 메일에 악성코드 파일을 첨부하는 등 공격을 감행하는 것으로 나타났다.

글로벌 보안 기업 파이어아이는 25일 사이버 위협 그룹 APT32에 대해 발표했다.

파이어아이에 따르면, 이 조직은 베트남에서 제조, 소비재, 부동산(호텔·숙박업) 사업과 관련된 해외 기업을 공격했다. 베트남에 진출해 사업 또는 투자 예정인 외국계 기업이 주요 타깃인 것.

실제로 지난 2014년 베트남에 제조 시설을 건설하려던 유럽 기업이 피해를 입었으며, 지난해에는 베트남 및 외국계 네트워크 보안, 기술 인프라, 금융, 미디어 부문의 기업들이 공격당했다.

지난해 중반에는 베트남에서 사업 확장을 계획 중이던 글로벌 숙박·관광 개발 기업의 네트워크에서 APT32의 특징적 멀웨어(malware)가 감지됐으며, 최근까지 미국과 필리핀 소비재 기업의 베트남지사가 공격 대상이 됐다.

또 파이어아이에 따르면, APT32는 베트남의 이익과 관련해 이에 반하는 해외 정부 기관, 반체제 인사, 언론인도 공격대상으로 삼사는 등 동남아시아와 전 세계 공공 영역에서 진행되는 정치적 활동이나 언론의 자유도 침해하고 있다.

최근에는 사회 공학적 기법을 활용, 피해자가 매크로를 활성화하도록 유도하고 있다. 스피어 피싱(spear phishing) 이메일을 통해 악성코드 첨부 파일을 지속해 전달하고 있는 것.

파이어아이에 따르면, APT32는 공격대상을 향해 미끼용 파일을 다국어로 디자인하기도했다. 사용자가 받는 파일은 확장자는 문서 파일 확장자(.doc)지만, 이 파일은 텍스트와 이미지를 포함한 웹 아카이브 파일로 실제 확장자는 '.mht'인 엑티브마임(ActiveMime) 파일이다.

더욱이 효율적인 공격을 위해 이메일 발송 관련 성과 측정 서비스까지 이용한 것으로 확인됐다. 이를 통해 누가 이메일을 열어 보았는지, 첨부 파일을 받은 이는 누구인지, 인터넷프로토콜(IP) 주소는 무엇인지 등을 확인했다는 얘기다.

또 APT32는 초기침투 후 정기적으로 이벤트 로그를 지우고, 초기침투를 한 다음 백도어(back door)를 설치해 거점을 확보하는 등 지능화되고 있다는 분석이다.

아울러 맥 운영체제(OS)용 백도어 개발를 개발할 수 있으며, 윈드쉴드(WINDSHIELD) 등 멀웨어 페이로드(payload)를 주력으로 사용한 것으로 나타났다.

전수홍 파이어아이 코리아 지사장은 "다국적 기업을 타깃으로 한 APT32의 연이은 공격은 해외에서 비즈니스를 하는 한국기업에게 경각심을 불러일으키는 계기가 돼야 한다"고 강조했다.

이어 "사이버 공격 능력을 가진 국가의 수가 증가하고 있기 때문에 기업들은 새로운 위험성에 대해 주의 깊게 고려해야 한다"며 "사이버 공격을 빠르게 탐지하고 대응하기 위해서는 기술뿐만 아니라 전문성과 위협 인텔리전스도 필요하다"고 조언했다.