사이버표적공격, 한 번으로 끝나지 않는다
“사이버공격자들의 표적이 된 기업 대다수는 더욱 심각한 수준의 2차 공격을 받고 있다. 공격자는 한 번 공격을 감행한 뒤 다시 돌아온다. 그리고 표적이 된 기업은 하나의 공격그룹이 아니라 여러 그룹으로부터 공격을 받는다.”
팀 웰스모어(Tim Wellsmore) 파이어아이 아시아태평양지역 위협인텔리전스 디렉터는 5일 파이어아이코리아가 개최한 ‘사이버디펜스 라이브 서울’ 행사장에서 기자들과 만나 실제 사이버침해를 입은 많은 조직에서 나타난 표적공격 경향을 이같이 소개했다.

파이어아이의 전문조직인 맨디언트가 작년 한 해 동안 실제 침해사고를 조사해 확인한 통계와 분석 내용을 담은 ‘2018 M-트렌드 보고서’에 따르면, 아태지역 기업조직의 91%는 한 번 공격을 받은 후 더욱 심각한 공격을 받은 것으로 나타났다. 또한 여러 공격그룹으로부터 공격을 받은 기업은 82%에 달하는 것으로 조사됐다.
웰스모어 디렉터는 “공격자는 다시 돌아온다는 교훈을 주는 수치다. 한 번 표적이 된 곳은 하나의 공격그룹이 아니라 여러 공격그룹의 표적이 되기 때문에 이같은 공격자들의 경향을 잘 이해하고 대응할 수 있어야 한다”고 강조했다.


이날 그는 아태지역 기업들이 미국, 유럽·중동·아프리카(EMEA) 지역에 비해 사이버보안이 미흡하다고 지적하기도 했다.
사이버침해가 발견되기 전까지 공격자들이 내부 네트워크와 시스템에 체류한 시간이 미국과 EMEA에서는 매년 줄어들고 있는 반면에 아태지역에서는 지난해 대비 오히려 길어진 것으로 조사된 탓이다.

글로벌 평균 공격자 체류시간은 2011년 416일에서 2012년 243일, 2013년 229일, 2014년 205일, 2015년 146일로 꾸준히 감소했다. 2016년에는 99일, 2017년 101일로 조사됐다. 사이버위협 탐지·보안 체계가 강화된 것으로 해석될 수 있다.
하지만 지난해 기준 아태지역 평균 체류시간은 498일로 나타나 2016년 평균치인 172일 대비 오히려 크게 늘어났다. 글로벌 평균 체류시간 대비 5배나 높다. 같은 기간 미국은 75.5일, EMEA는 175일을 나타냈다.

웰스모어 디렉터는 “공격자들이 내부 시스템에 더욱 오랫동안 머물러 있었다는 것”이라며 “아태지역 조직들은 보안 성숙도를 높이기 위한 노력이 필요하다”고 말했다.
그는 사이버보안 강화를 위한 조언으로 ▲위협 인텔리전스 정보를 받아 활용할 것 ▲클라우드 보안위험과 서비스 보안수준을 인지하고 사용할 것 ▲자동화를 통해 효과적인 보안운영 환경을 구축할 것 ▲과금(Cost) 기반 사용 모델과 서비스를 도입할 것을 강조하기도 했다.
웰스모어 디렉터는 “기업들은 사이버공격에 직면할 때 발생하는 위험에 대해 전략적 접근방식을 취하는 것이 중요하다”라면서 “공격 가능성이 높은 침입자와 그들이 어떻게 공격할지에 대한 지식을 갖춰야 하며, 공격을 감지하고 대응할 능력을 쌓아 즉각적으로 보안 리소스를 배치할 수 있도록 준비해야 한다”고 제시했다.
한편, 이날 웰스모어 디렉터는 파이어아이가 ‘APT37’ 또는 ‘리퍼(Reaper)’라고 명명한 지능형 사이버공격그룹에 대한 분석 결과도 전했다.
그는 “공격 기술 지표와 방법, 피해 기업 유형, 공격 시간대 등을 종합적으로 분석한 결과APT37은 북한의 후원을 받고 있는 공격그룹으로, 북한 내에서 공격을 수행하고 있는 그룹이라고 보고 있다”라며 “APT37은 첩보(정보수집)을 목적으로 공격하고 있는 지능형공격그룹으로 새롭게 발표되는 취약점을 몇 주 안에 빠르게 활용하며, 스스로 제로데이 취약점을 개발해 사용할 수 있을 정도로 고도화된 역량과 풍부한 자원을 갖고 있다”고 설명했다.
파이어아이 분석에 따르면, APT37은 2012년 경부터 활발히 활동하기 시작했다. 주로 한국 정부와 군, 방위산업, 미디어 관련기업을 공격해 왔다.
2017년에는 활동 반경을 일본, 베트남, 중동지역 등 한국 외 지역으로 넓혔다. 공격 대상 산업 범위도 화학, 전자, 제조, 항공우주산업, 자동차, 헬스케어 등으로 확장하고 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
[컨퍼런스 안내]
◈ 2025 이커머스 비즈니스 인사이트 : 생존을 넘어 성장으로
일시 : 2025년 2월 18일 오후 12:30~17:30
장소 : 서울 강남구 테헤란로7길 22 ST Center (과학기술컨벤션센터) 지하 1층 대회의실 1