카스퍼스키랩은 2019년 1분기가 새로운 공격과 양상이 관찰된 흥미로운 시기였다고 설명했다. 1분기에 가장 두드러진 APT 공격은 섀도우해머(ShadowHammer)로, 이 공격은 공급망을 이용해 아주 광범위하게 전파됐으며, 정교하게 특정 대상을 노린다.
정치적인 사건과 표적형 공격 사이에 뚜렷한 상관 관계가 여러 차례 관찰되면서, 카스퍼스키랩은 정치 외교적인 문제가 APT 활동의 중요 동인으로 작용했다고 분석했다. 최근 동남아시아는 정치적으로 혼란을 겪고 있어, 동남아시아는 전 세계적으로 APT 공격이 가장 활발한 지역으로 꼽혔다.
1분기에는 러시아어를 구사하는 조직의 활동은 크게 눈에 띄지 않았다. 조직을 재정비하는 휴식기로 추측되지만, 꾸준히 활동하며 소파시(Sofacy)와 튤라(Turla)에 의한 악성코드를 유포하고 있다.
중국어를 구사하는 공격자는 낮은 수준의 공격 기법과 높은 수준의 공격 기법을 모두 사용하며, 활발히 활동하고 있다. 대표적인 예로 2012년부터 활동 중인 ‘캑터스페티(CactusPete)’라고 알려진 그룹은 1분기에 다운로더와 백도어의 새로운 변종과 다크호텔 그룹에서 사용한 VB스크립트 제로데이를 리패키징한 버전 등 신종 악성 도구와 기존 악성 도구의 업데이트를 이용한 것으로 관찰됐다.
정부 기관이나 단체에서 이용하는 ‘상용’ 악성코드를 판매하는 비즈니스가 성행한는 것으로 나타났다. 실제 피해로 이어지지는 않았지만 핀스파이(FinSpy)의 새로운 변종과 럭키마우스 공격에서 해킹팀이 유출한 도구를 배포한 것을 카스퍼스키랩 연구진이 발견했다.
카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “이번 분기에는 정교한 공급망 공격, 암호화폐에 대한 공격 및 정치 외교적 문제로 인한 공격이 주로 눈에 띄었다”며, “표적형 공격의 피해자가 되지 않기 위해서는 엔드포인트 레벨에서의 위협 탐지, 조사 및 신속한 조치를 위해 EDR 솔루션을 구축하고, 보안 인식 교육을 철저히 실시해야 한다"고 권고했다. editor@itworld.co.kr