중국이 전략적으로 육성·후원한 해커 조직이 우리나라 에너지 기업을 목표로 표적 공격을 감행했다는 주장이 제기됐다.
25일 파이어아이(FireEye)는 국내 에너지 기업을 목표로 한 중국 정부 지원 해커 집단 '톤토팀(Tonto Team)'표적 공격을 공개했다.
톤토팀은 지난해 하반기 캄손과 고스트라는 이름의 악성코드를 이용해 한국 에너지기업을 공격했다. 지금까지 톤토팀 한국 지역 활동은 여러 번 발견됐지만 대부분 안보, 첨단기술, 해상, 화학, 정부, 항공우주, 방위 산업 기지를 목표로 했다. 에너지 산업을 표적 공격한 것은 처음 발견된 것으로 알려졌다.
최근 중국은 다른 나라 기업과 기관 등을 목표로 다양한 해커조직을 후원하고 있다는 게 파이어아이의 설명이다.
이날 공개한 보안 관련 보고서인 '2019 맨디언트 M-트렌드 보고서(M-Trends report)'에 따르면 중국은 사이버 스파이 작전 요원을 가장 다각적으로 후원하는 국가로 널리 인식되고 있다.
파이어아이는 중국의 후원과 연관된 활동 그룹이 뚜렷하게 나타나고 있다고 강조했다. 중국의 스파이 활동과 개발은 성장과 위축의 시기를 거치면서 중국의 지정학적 입장, 경제적 우선 순위, 국가 전략의 변화를 예고하고 있다고 설명했다.
파이어아이는 APT40(Periscope)를 중국의 '일대일로 전략(BRI)'에 전략적으로 중요한 국가를 주로 표적으로 삼는 중국의 사이버 스파이 그룹으로 지목했다. 표적 국가들은 동남아시아 지역에 집중돼 있으며, 배송 또는 해군 기술과 같은 해상 문제와 관련한 글로벌 기관이 위치한 국가도 표적이 되고 있다. 이 그룹이 2013년 1월부터 해상 표적, 국방, 항공, 화학, 연구·교육, 정부 및 기술 조직을 비롯한 다양한 부문을 대상으로 사이버 공격을 수행해왔다고 판단했다.
파이어아이는 수천 개의 공격 그룹을 추적하고 있으며 지능형 지속 위협(APT) 공격을 수행하는 국가 기반의 그룹을 특히 주시하고 있다. 일반적인 사이버 범죄자와 달리 APT 공격자는 몇 달 또는 몇 년에 걸쳐 공격의 목표를 달성하는 것으로 알려져 있다. 이러한 공격자들은 네트워크에서 이들을 제거하려는 피해 조직의 시도에 빠르게 적응하며, 네트워크의 권한을 상실한 경우에도 같은 피해자를 계속 표적으로 삼는다고 분석했다.
전수홍 파이어아이코리아 지사장은 "2018년에는 사이버 공격자들이 새로운 방법론을 도입하며, 더욱 정교한 공격이 이루어지는 것을 발견했다"며 "한국 기업들은 사이버 위협으로부터 자유로울 수 없으며, 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 말했다.