[아이티데일리] 올 1분기 동남아 지역에 지능형 지속 위협(APT) 공격이 집중된 것으로 조사됐다. 또한 1분기 공격의 주요 요인은 정치 외교적인 성격을 띠고 있는 것으로 나타났다.

2일 카스퍼스키랩(한국지사장 이창훈)은 분기별 APT 동향 보고서를 발표하며 이같이 밝혔다. 카스퍼스키랩의 분기별 APT 동향 보고서는 카스퍼스키랩의 비공개 위협 인텔리전스 연구와 기타 출처의 데이터를 취합해 작성되며, 대중에게 알려 경고해야 하는 주요 위협 활동을 조명한다.

이번 보고서에 따르면, 동남아 지역에 집중된 지능형 공격과 점점 커지는 정치 외교적 요인의 영향이 주요 특징으로 나타났다. 또한 암호화폐 및 상업용 스파이웨어 공격을 비롯해 공급망 공격도 발견됐다.

올 1분기에 가장 두드러진 APT 공격은 ‘섀도우 해머(ShadowHammer)’였다. 공급망을 이용해 아주 광범위하게 전파된 ‘섀도우해머(ShadowHammer)’는 특정 대상을 노리기 위해 설계된 것으로 보인다.

또한 정치 외교적인 문제가 APT 활동의 중요 동인으로 작용했다. 정치적인 사건과 표적형 공격 사이에 상관관계가 여러 차례 관찰됐다. 동남아시아는 전 세계적으로 APT 공격이 가장 활발한 지역의 자리를 고수했다. 동남아시아를 둘러싼 잡음이나 이를 노리는 해킹 조직과 공격이 그 어느 지역보다 많았다.

특히 정부 기관이나 단체에서 이용하는 상용 악성코드를 판매하는 비즈니스가 성행한 것으로 보인다. 실제 피해로 이어지지는 않았지만 ‘핀스파이(FinSpy)’의 새로운 변종과 ‘럭키마우스(LuckyMouse)’ 공격에서 해킹팀(HackingTeam)에서 유출된 도구를 배포한 것이 관찰됐다.

이창훈 카스퍼스키랩코리아 대표는 “이번 1분기에는 정교한 공급망 공격, 암호화폐에 대한 공격 및 정치 외교적 문제로 인한 공격이 주로 눈에 띄었다”면서, “알려진 위협과 알려지지 않은 위협에 대한 보호는 앞으로 모든 이들에게 아주 중대한 과제로 남을 것”이라고 말했다.

한편 1분기 APT 동향 보고서에는 카스퍼스키랩 유료 구독자에게만 제공되는 위협 인텔리전스 보고서의 연구 결과가 요약돼 있다. 인텔리전스 보고서에는 디지털 포렌식 조사와 악성 코드 추적을 돕는 침해 지표(IOC) 데이터와 YARA 규칙도 담겨 있다.

카스퍼스키랩은 표적형 공격을 예방하기 위해 ▲기업의 SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공해 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 습득할 수 있도록 지원 ▲엔드포인트 레벨에서의 위협 탐지, 조사 및 신속한 조치를 위해 EDR솔루션 사용 ▲네트워크 레벨에서 APT 위협을 초기에 탐지할 수 있도록 기업용 보안 솔루션 구축 ▲보안 인식 교육 실시 등의 조치를 취할 것을 권고하고 있다.