2020-08-05 00:00 (수)
[2020 1분기 APT 조직 동향] 모바일 공격으로 이동…아시아 지역 활동↑
상태바
[2020 1분기 APT 조직 동향] 모바일 공격으로 이동…아시아 지역 활동↑
  • 길민권 기자
  • 승인 2020.05.06 01:00
이 기사를 공유합니다

모바일 플랫폼을 통한 악성코드 감염 및 유포 증가세

2020년 1분기 APT(지능형 지속 공격) 활동을 살펴보면 모바일 플랫폼을 통한 악성코드 감염 및 유포가 증가세에 있으며, 그 중 일부 공격은 완전히 모바일에만 집중되어 있음이 드러났다.

신규 해커 조직의 아시아 지역 공격 활동이 더욱 증가하는 가운데 기존의 지능형 공격 조직들은 공격 수행 방식에 있어 보다 신중한 모습을 보였다.

최근 카스퍼스키에서 발간된 분기별 위협 인텔리전스 요약 보고서를 통해 이러한 현상 및 전 세계의 APT 추세에 대해 확인해볼 수 있다.

지난 분기 APT 동향 요약은 카스퍼스키의 비공개 위협 인텔리전스 연구와 대중이 알아야 하는 주요 공격 전개 양상을 다룬 기타 출처를 바탕으로 작성되었다.

2020년 1분기 APT 관찰 결과 아시아 지역에서의 활동이 증가하고 있으며 동남아시아, 한국, 일본에서 특히 활발하게 일어나고 있음이 확인되었다. 카스퍼스키는 창의적이면서 비용이 낮은 캠페인을 무기로 하는 새로운 APT 조직이 등장해 CactusPete나 Lazarus 같은 유명한 조직과 함께 존재감을 굳히고 있다고 말한다.

뿐만 아니라 공격 및 악성 코드 유포 수단으로서의 모바일 플랫폼에 대한 관심도도 증가하고 있는 것으로 보인다. 최근 카스퍼스키는 홍콩 사용자를 노리고 iOS 및 안드로이드 기기의 취약점을 악용한 LightSpy 워터링 홀 공격 및 동남아시아 지역을 겨냥한 안드로이드 사이버 스파이 공격 PhantomLance 등 모바일에 집중한 몇몇 캠페인에 대한 보고서를 발표했다.

이 두 공격 모두 포럼이나 소셜미디어부터 구글 플레이 앱스토어까지 다양한 온라인 플랫폼을 활용하는 데 성공하면서 결과적으로 악성 코드를 효과적으로 유포하는 방법을 제시했다.

아시아 지역을 노리는 APT 공격자들만 모바일 임플란트를 개발하는 것은 아니다. 아프가니스탄과 인도 사용자를 노리고 “USBWorm”이라는 새로운 모듈을 사용한 공격을 펼친 TransparentTribe 또한 안드로이드 기기를 감염시키기 위해 새로운 임플란트를 개발했다. 사용된 악성 코드는 "AhMyth"라는 GitHub에서 구할 수 있는 오픈소스 안드로이드 RAT(원격 접근 트로이목마)의 수정 버전이었다.

또한 3월 중순부터 여러 APT 조직에서 피해자들을 유인하는 미끼로 코로나 팬데믹을 악용했으나 사용자로부터 돈을 갈취하기 위해 인기 있는 주제를 활용하는 것일 뿐 TTP(전술, 기법, 절차)에 있어서 큰 변화를 나타내지는 않았다. Kimsuky, Hades 및 DarkHotel 같은 조직에서 코로나 사태를 키워드로 사용했다.

카스퍼스키의 글로벌 위협 정보 분석 팀(GReAT)의 선임 보안 연구원 빈센트 디아즈는 "코로나 팬데믹 기간에도 APT 활동은 멈추지 않았다. 사실 일부 조직은 현 사태를 다양한 방식으로 이용했다. 당분간 의료 기관은 공격하지 않겠다고 발표해서 좋은 이미지를 만들고자 시도한 경우도 있었다. 그럼에도 불구하고 카스퍼스키의 분석 결과 금전적 이득과 지정학적 요인이 여전히 APT 공격의 가장 큰 동기로 나타난다”고 밝혔다.

이어 “특히 최근 2년 동안 새롭게 등장하여 계속 유지되면서 존재감을 굳히고 있는 조직들의 경우 더욱 그렇다. 창의적인 방법을 무기로 새로운 조직이 부상하고 있고 기존의 유명 조직은 더욱 잡아내기 어려워진 가운데 모바일은 새로운 공격의 견인차 역할을 하고 있다”며 “이는 우리 모두가 겪고 있는 시대적 변화의 결과일 것이다. 우리가 모든 것을 완벽하게 파악하고 통제하는 것은 불가능하며, 아직 카스퍼스키의 감시망에 걸리지 않았거나 알지 못하는 공격 활동이 있을 것이다. 그러니 알려진 위협은 물론 알려지지 않은 위협으로부터 기업과 사용자를 보호하는 것이 우리 모두에게 아주 중요한 일이다"라고 덧붙였다.

카스퍼스키는 표적형 공격의 피해자가 되는 일을 예방하기 위해 다음과 같은 조치를 취할 것을 권고하고 있다.

△SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공하여 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트할 수 있도록 지원한다.

△엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 EDR 솔루션을 구축한다.

△사용 중인 엔드포인트 보안 솔루션이 모바일 장치에 대한 보호도 제공하는지 확인하여 조치한다. 웹 위협 및 모바일 플랫폼을 노리는 악성 코드로부터 보호 기능을 제공하는 것은 물론 앱과 장치 제어 기능까지 갖춘 솔루션이 필요하다.

△필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 비즈니스용 보안 솔루션을 구축한다.

△대다수의 표적형 공격이 피싱 또는 사회공학적 기법을 사용해 시작되므로 보안 인식 교육을 실시하고 실용적인 공격 방지법을 알려준다.

★정보보안 대표 미디어 데일리시큐!★

◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최

-날짜: 2020년 5월 28일

-장소: 더케이호텔서울 2층 가야금홀

-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자

-교육이수: 7시간 인정

-사전등록: 사전등록 클릭

-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com