파이어아이-싱텔, 동남아시아 사이버 공격 관련 보고서 발간

“동남아시아 지역 기업 및 정부 기관이 사이버 공격의 주 타깃”

  • 연예, 언론, 숙박업이 가장 많이 공격 받아. 정부기관이 그 다음 타깃 대상
  • 국유은행과 아시아 통신 회사의 악성코드 감염 확인돼

2015년 12월 9일 – 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)와 싱가폴 통신사 싱텔(Singtel)이 공동으로 동남아시아 지역 내 기관을 타깃으로 한 지능형 사이버 공격에 관한 새로운 보고서를 발표했다. 보고서에 따르면, 올해 상반기 동안, 동남아시아 지역은 사이버 공격의 대상이 될 위험이 전 세계 평균보다 45% 가량 더 높은 것으로 나타났다. 2014년 하반기, 전 세계 평균 대비 약 7% 가량 높았던 것에 비하면, 그 수치가 크게 늘어난 것이다.

올해 상반기, 조사대상 동남아시아 지역 기업체 및 기관 중 29%는 지능형 사이버 공격에 타깃이 됐다. 동남아시아 국가 중에서도 태국과 필리핀이 사이버 공격을 가장 많이 받았는데, 조사 대상 중 각각 40%, 39%의 기관이 이러한 공격에 노출됐다.

지능형 지속 위협인 APT(Advanced Persistent Threat)에 이용된 멀웨어(Malware)의 3분의 1은 연예, 언론, 숙박 산업을 타깃으로 했다. 공격 그룹은 언론 기관을 타깃으로 함으로써 배포되기 전의 뉴스를 확보하는 동시에 정보원들을 알아낼 수 있었다.  

파이어아이는 전 세계적으로 최소 13개의 APT그룹이 국가 정부 기관을 타깃으로 하고 있으며, 최소 4개의 APT그룹은 주 정부 혹은 지방 정부를 타깃으로 하고 있는 것으로 조사됐다고 밝혔다.

파이어아이 아태지역 사장인 에릭 호(Eric Hoh)는 “스파이 행위는 전혀 새로울 것이 없지만, 최근에는 온라인상에서 점점 증가하는 추세이며, 특히 동남아시아 지역에서 빈번히 발생한다”고 말한 뒤 “동남아시아의 경제적 영향력이 커지고 남중국해를 둘러싼 긴장이 가속화됨에 따라 동남아시아 지역 내 정부 기관 및 기업들은 타깃 사이버 공격에 대비해야 한다”고 덧붙였다.

싱텔의 기업 데이터 및 매니지드 서비스 부문 전무인 윌리암 우(William Woo)는 “이번 보고서는, 동남 아시아 지역 내 모든 종류의 산업과 기관을 대상으로 행해지고 있는 사이버 공격의 발생 빈도와 공격 수단의 정교함을 잘 보여주고 있다. 따라서 다른 지역에 비해 더 사이버 위협에 노출돼 있는 동남아시아의 기업들은 사이버 공격에 대응하는 방어 체계를 더욱 보강해야 한다. APT공격이 평균적으로 발생 205일 이후에 탐지되는 것을 고려할 때, 기업들은 자신들의 자산과 고객 그리고 평판을 보호하기 위해 싱텔의 사이버 디펜스 매니지드 서비스(cyber defense managed service) 같은 선제적인 조치를 취해야 한다”고 말했다.

위협 인텔리전스는 기업들이 공격 그룹보다 한 발 앞서 나가기 위한 중요한 수단이다. 이번 보고서는 정치∙경제적 기밀 정보를 수집하기 위해 중요 기관을 타깃 공격하는 그룹들, 알려진 사이버 스파이 행위 탐지 시스템, 탐지를 피하기 위한 공격 그룹의 진화된 기술 등 동남아시아 사이버 위협 지형에 대한 인사이트를 제공한다.

보고서의 주요 내용은 다음과 같다.

감염된 국유은행
파이어아이는 동남아시아 지역 내 국유은행에서 악성코드 경보를 탐지했다. 파이어아이 위협 인텔리전스에 따르면, 멀웨어 ‘CANNONFODDER’는 아시아 기반 사이버 공격 그룹이 정치∙경제적 기밀 정보를 수집하기 위해 가장 많이 이용하는 악성코드라고 밝혔다. 2014년 하반기에 파이어아이는 아시아 통신 회사에서 멀웨어 경보를 탐지했다. 이어, 2014년 중순 공격 그룹이 아시아 지역 정부의 공직자들을 대상으로 악성 첨부파일을 동봉한 스피어피싱을 발송했던 것을 밝혔다.

10년 동안의 사이버 스파이 행위 탐지
2015년 4월, 파이어아이는 APT30이라고 명명된 APT그룹이 10년 간 동남아시아 기업, 정부기관, 기자들을 대상으로 스파이 행위를 했다고 밝히며 이에 대한 보고서를 발표했다. 해당 그룹이 이용하는 멀웨어 ‘Lecna’는 2015년 상반기 동안 동남아시아의 파이어아이 고객 중 7%를 감염시켰다..

은닉 APT 그룹, 동남아시아 정부 타깃
파이어아이는 2013년 처음 발견된 독특하고 은밀하게 공격을 수행하는 APT 나인블로그(NineBlog)가 진행하는 사이버 공격을 추적하고 있다. 타깃을 유인하는 문서의 특징으로 추측해볼 때, 해당 공격 그룹의 2015년 활동 중 현재 가능성 있는 타깃 중 하나는 동남아시아 정부 기관이다. 이 그룹의 멀웨어는 암호화된 SSL커뮤니케이션을 이용해 탐지 시스템을 피한다. 게다가 이 그룹의 멀웨어는 멀웨어 분석용 애플리케이션의 존재여부를 탐지해, 애플리케이션이 발견되면 작동을 멈춘다.

보고서 전문은 이곳에서 열람할 수 있다.

참고자료

[그림1] 파이어아이가 밝힌 타깃형 멀웨어에 영향 받은 국가 (2015년 상반기 기준)

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포춘 선정 글로벌 기업 200개 기업을 포함한 3,100개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

자료 문의

파이어아이 코리아         이상도 이사  / 02-559-0730 / sangdo.lee@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

민초롱 대리 / 010-2845-0625 / chorong@mincomm.com

정유림 A.E / 010-9914-5529 /yurim@mincomm.com