파이어아이 "'군사기관 공격' 中해킹그룹, 韓에너지기업 첫공격"
중국 해킹그룹 톤토팀, 탬프틱 이어 韓에너지기업으로 공격 대상 확대
(서울=연합뉴스) 최현석 기자 = 군사·보안 기관을 주로 공격하던 중국 해킹그룹이 한국 에너지기업을 공격한 사례가 최근 처음으로 포착돼 에너지 업계의 주의가 요구된다.
다국적 보안기업인 파이어아이는 25일 삼성동 그랜드인터컨티넨탈서울 파르나스호텔에서 기자간담회를 열어 중국과 연계된 해킹그룹 '톤토팀'이 작년 12월 멀웨어를 이용해 한국 에너지기업을 공격한 것을 발견해 차단했다고 밝혔다.
중국과 연계된 사이버 첩보 활동 단체인 톤토팀은 2012년께부터 한국과 러시아, 일본의 군사, 보안 관련 조직을 대상으로 많은 공격을 수행했지만 한국 에너지기업을 공격한 것은 이번이 처음이다.
파이어아이는 톤토팀이 처음으로 한국 에너지 부문을 공격한 것으로 봤을 때 버락 오바마 전 미국 대통령과 시진핑(習近平) 중국 국가주석이 체결한 사이버 첩보 활동 금지 합의 이후 생긴 조직개편으로 사명과 구조에 변화가 생겼을 가능성이 있다고 분석했다.
한국 에너지기업을 공격 대상으로 삼은 중국 해킹그룹은 2009년께부터 활동한 '탬프틱'에 이어 두 번째다.
탬프틱도 한국과 일본을 표적으로 삼고 있으며, 중국 정부가 지원하는 해킹그룹들처럼 중국의 반체제 조직에 대한 모니터링 작업을 수행해왔다. 한국 에너지기업에 대한 공격은 2014년부터 포착됐다.
멀웨어를 이용해 국내 포털 '다음' 관련 도메인으로 위장했다가 발각된 적 있다.
라이언 웰란 파이어아이 운영전략부서 총괄이사는 "톤토팀이 에너지산업을 공격 대상으로 추가해 에너지산업을 공격 대상으로 삼는 2번째 중국 해킹그룹이 생겼다"며 "에너지산업에 대한 중국 측의 관심이 커졌다는 의미"라고 설명했다.
웰란 이사는 "공격에 사용된 멀웨어(악성 소프트웨어)를 근거로 톤토팀과 탬프틱 간 기술적 공통점이 있다는 것을 파악했다"며 "이들 해킹그룹이 자원을 공유하기 시작하면 상당한 피해가 발생할 수 있다"고 강조했다.
두 해킹그룹이 해킹 도구와 인프라 등 자산 통합, 중앙 배포 센터 구축 등을 통해 공격에 더욱 능숙해지면 한국 등에 더 큰 위협이 될 수 있다는 지적이다.
한편 파이어아이는 이날 발표한 '2019맨디언트 M-트렌드 보고서'에서 작년 아태지역 조직 내부 보안팀이 사이버 침해를 확인할 때까지 공격자가 피해조직 네트워크에서 활동한 공격지속시간이 총 262일이었다고 밝혔다.
이는 미국과 EMEA(신흥유럽·중동·아프리카) 조직의 내부 보안팀이 침해를 탐지하는 시간 46일과 61일보다 긴 편이다. 공격자가 활동이 탐지되기 전 목표를 달성할 수 있는 시간이 훨씬 많다는 점을 의미한다.
아태지역의 침해 발견·대응 관리 고객사의 78%가 지난 19개월동안 동일하거나 유사한 동기를 가진 공격 그룹의 표적이 됐다며 전 세계 평균 수치 64%보다 높았다고 파이어아이가 전했다.
파이어아이는 북한과 러시아, 중국, 이란 등의 사이버 공격 그룹들을 추적하면서 공격 그룹들이 지속적으로 공격 능력을 향상하고, 정치·경제적 이슈와 연결해 표적을 변경한다는 점을 관찰했다고 전했다.
파이어아이코리아 전수홍 지사장은 "작년 사이버 공격자들이 새로운 방법론을 도입하며 더욱 정교한 공격이 이뤄지는 것을 발견했다"며 "올해 M-트렌드 보고서는 어떠한 산업 분야도 위협으로부터 안전하지 않다는 점을 보여주고 있다"고 말했다.
전 지사장은 "아태지역 조직들은 사이버 공격의 배후를 탐지하는 과정에서 다른 지역에 비해 상대적으로 느린 속도를 보이고 있다"며 "과거 경험에 비춰봤을 때 한국 기업들은 사이버 위협에서 자유로울 수 없으며 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 덧붙였다.
harrison@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
중국 해킹그룹 톤토팀, 탬프틱 이어 韓에너지기업으로 공격 대상 확대
(서울=연합뉴스) 최현석 기자 = 군사·보안 기관을 주로 공격하던 중국 해킹그룹이 한국 에너지기업을 공격한 사례가 최근 처음으로 포착돼 에너지 업계의 주의가 요구된다.
다국적 보안기업인 파이어아이는 25일 삼성동 그랜드인터컨티넨탈서울 파르나스호텔에서 기자간담회를 열어 중국과 연계된 해킹그룹 '톤토팀'이 작년 12월 멀웨어를 이용해 한국 에너지기업을 공격한 것을 발견해 차단했다고 밝혔다.
중국과 연계된 사이버 첩보 활동 단체인 톤토팀은 2012년께부터 한국과 러시아, 일본의 군사, 보안 관련 조직을 대상으로 많은 공격을 수행했지만 한국 에너지기업을 공격한 것은 이번이 처음이다.
파이어아이는 톤토팀이 처음으로 한국 에너지 부문을 공격한 것으로 봤을 때 버락 오바마 전 미국 대통령과 시진핑(習近平) 중국 국가주석이 체결한 사이버 첩보 활동 금지 합의 이후 생긴 조직개편으로 사명과 구조에 변화가 생겼을 가능성이 있다고 분석했다.
한국 에너지기업을 공격 대상으로 삼은 중국 해킹그룹은 2009년께부터 활동한 '탬프틱'에 이어 두 번째다.
탬프틱도 한국과 일본을 표적으로 삼고 있으며, 중국 정부가 지원하는 해킹그룹들처럼 중국의 반체제 조직에 대한 모니터링 작업을 수행해왔다. 한국 에너지기업에 대한 공격은 2014년부터 포착됐다.
멀웨어를 이용해 국내 포털 '다음' 관련 도메인으로 위장했다가 발각된 적 있다.
라이언 웰란 파이어아이 운영전략부서 총괄이사는 "톤토팀이 에너지산업을 공격 대상으로 추가해 에너지산업을 공격 대상으로 삼는 2번째 중국 해킹그룹이 생겼다"며 "에너지산업에 대한 중국 측의 관심이 커졌다는 의미"라고 설명했다.
웰란 이사는 "공격에 사용된 멀웨어(악성 소프트웨어)를 근거로 톤토팀과 탬프틱 간 기술적 공통점이 있다는 것을 파악했다"며 "이들 해킹그룹이 자원을 공유하기 시작하면 상당한 피해가 발생할 수 있다"고 강조했다.
두 해킹그룹이 해킹 도구와 인프라 등 자산 통합, 중앙 배포 센터 구축 등을 통해 공격에 더욱 능숙해지면 한국 등에 더 큰 위협이 될 수 있다는 지적이다.
한편 파이어아이는 이날 발표한 '2019맨디언트 M-트렌드 보고서'에서 작년 아태지역 조직 내부 보안팀이 사이버 침해를 확인할 때까지 공격자가 피해조직 네트워크에서 활동한 공격지속시간이 총 262일이었다고 밝혔다.
이는 미국과 EMEA(신흥유럽·중동·아프리카) 조직의 내부 보안팀이 침해를 탐지하는 시간 46일과 61일보다 긴 편이다. 공격자가 활동이 탐지되기 전 목표를 달성할 수 있는 시간이 훨씬 많다는 점을 의미한다.
아태지역의 침해 발견·대응 관리 고객사의 78%가 지난 19개월동안 동일하거나 유사한 동기를 가진 공격 그룹의 표적이 됐다며 전 세계 평균 수치 64%보다 높았다고 파이어아이가 전했다.
파이어아이는 북한과 러시아, 중국, 이란 등의 사이버 공격 그룹들을 추적하면서 공격 그룹들이 지속적으로 공격 능력을 향상하고, 정치·경제적 이슈와 연결해 표적을 변경한다는 점을 관찰했다고 전했다.
파이어아이코리아 전수홍 지사장은 "작년 사이버 공격자들이 새로운 방법론을 도입하며 더욱 정교한 공격이 이뤄지는 것을 발견했다"며 "올해 M-트렌드 보고서는 어떠한 산업 분야도 위협으로부터 안전하지 않다는 점을 보여주고 있다"고 말했다.
전 지사장은 "아태지역 조직들은 사이버 공격의 배후를 탐지하는 과정에서 다른 지역에 비해 상대적으로 느린 속도를 보이고 있다"며 "과거 경험에 비춰봤을 때 한국 기업들은 사이버 위협에서 자유로울 수 없으며 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 덧붙였다.
harrison@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
