전수홍 파이어아이 지사장 "北 해킹 조직 APT37 공격 범위 전세계 확산"

전수홍 파이어아이코리아 지사장이 5일 삼성동 그랜드 인터컨티넨탈 서울 파르나스에서 열린 기자간담회에서 북한의 사이버 해킹 조직 APT37에 대한 연구 결과를 발표하고 있다. [사진=신희강 기자@kpen ]

일명 '리퍼(Reaper)'로 불리는 북한의 사이버 해킹 조직 'APT37'이 한국 뿐만 아니라 전세계를 대상으로 공격 범위를 넓혀나가고 있다는 주장이 제기됐다. 특히 우리나라를 포함한 아시아 태평양 지역이 사이버 공격을 감지하는 속도가 느린 것으로 파악돼 보안에 철저한 대비가 필요한 것으로 나타났다.

전수홍 파이어아이 지사장은 5일 삼성동 그랜드 인터컨티넨탈 서울 파르나스에서 기자간담회를 열고, 국내 주요 기관을 노리는 북한의 사이버 해킹 조직 APT37에 대한 연구 결과를 발표했다.

전 지사장은 "APT37은 그 활동 반경이 넓어졌을 뿐만 아니라 수법도 더욱 정교해지고 있다"며 "전례없던 고강도 사이버 보안 위협에 처해 있는 한국 기업은 이에 철저히 대비해야 한다"고 밝혔다.

파이어아이에 따르면 APT37은 2012년부터 활동을 시작했으며, 국내 공공기관과 주요 사설 기관을 대상으로 공격을 시도해 왔다. 이들은 아래한글(HWP) 프로그램의 취약점과 어도비 플래시의 제로-데이(zero-day) 취약점 등을 활용해 악성코드를 심어놓는 수법을 썼다. 지난 2월 어도비 플래시의 제로데이 공격의 배후에도 APT37이 관여한 것으로 분석됐다.

전 지사장은 "APT37은 지난해 활동 반경을 한반도 너머인 일본, 베트남 및 중동지역 등으로 넓혔다"며 "산업분야에서도 화학, 전자, 제조, 항공우주산업, 자동차 및 헬스케어 등 가리지 않고 공격 대상 범위를 넓혀가고 있다"고 강조했다.

실제 APT37은 2017년부터 북한에서 전화 서비스 사업을 하던 중동 회사를 비롯해, 유엔의 대북 제재 및 인권 관련 사업과 연계된 일본의 한 단체, 베트남 무역회사 임원 등 다양한 기관과 개인을 표적으로 공격을 감행했다. 더 이상 한국만 타깃으로 삼는 것이 아닌 전 세계를 무대로 공격을 펼치고 있는 것이다.

전 지사장은 "APT37의 주요 임무는 북한의 군사 전략, 정치 및 경제적 이익을 위한 기밀 정보 수집"이라며 "이들이 목표 범위를 넓힌 것은 북한의 전략적 이익에 직접적인 연관성이 있는 것으로 보인다"고 추정했다.

그러면서 전 지사장은 아시아 태평양 지역 소재 기관 중 이미 한 번 표적이 된 기관은 계속 노려질 수 있다고 경고했다. 파이어아이 '2018 M-트렌드 보고서(M-Trends 2018)'에 따르면 아시아 태평양 지역 기관의 네트워크에 공격자들이 머무른 시간은 평균 498일로, 글로벌 평균 체류 시간( 101일의 약 5배에 이른다.

전 지사장은 "아시아 태평양 지역 기관은 다수의 공격자로부터 여러 건의 피해를 당한 경험이 유럽, 중동, 아프리카 지역, 또는 북미 지역과 비교했을 때 두 배나 많았다"며 "한 번 이상 심각한 공격 시도를 당한 아시아 태평양 지역의 파이어아이 고객사 중 91%가 동일하거나 비슷한 동기를 지닌 그룹의 표적이 됐다"고 설명했다.

이날 간담회에 참석한 팀 웰스모어(Tim Wellsmore) 파이어아이 아시아태평양 지역 위협정보분석 디렉터는 사이버 위협 인텔리전스를 통해 기관들이 위협에 대비해야 한다고 당부했다. 팀 웰스모어 디렉터는 "확고한 목표를 설정한 공격 그룹과 맞서게 되면 결국 사이버 위협은 불가피해진다"며 "기업에서는 사이버 공격 지식을 갖춰야 하며, 즉각적으로 보안 리소스를 배치할 수 있도록 준비해야 한다"고 말했다.