中 해커조직, 韓 에너지 기업 노렸다

[아이뉴스24 김국배 기자] 국내 에너지 기업을 겨냥한 중국 해킹 조직의 공격이 포착됐다.

미국 사이버보안 업체 파이어아이는 25일 서울 강남구 삼성동에서 기자간담회를 열고 국내 에너지 기업을 타깃으로 한 중국 기반 해킹 조직 '톤토팀(Tonto Team)'의 공격 사례를 처음 공개했다.

'톤토팀'은 과거에도 한국 지역을 표적으로 삼은바 있지만 에너지 산업 관련 기업을 노린 건 이번이 처음이다. 이전까지는 안보, 첨단기술, 화학, 항공우주, 방위 산업기지 분야가 주 공격 대상이었다.

파이어아이 분석 결과 톤토팀은 해당 공격에 '캄손', '고스트' 등의 악성코드를 사용했다. 악성코드는 뉴스 사이트를 가장한 도메인에서 유포됐다. 이 사이트는 해킹 조직이 제어하는 주소일 가능성이 높다.

특히 톤토팀은 또 다른 해킹 조직인 '탬프틱(TEMP.Tick)'과 연관성도 의심된다. 두 조직 모두 한국과 일본을 표적으로 삼고 있는 데다 같은 명령제어(C&C) 서버를 사용했기 때문.

톤토팀의 공격 대상 지역에는 변화가 없지만, 최근 탬프틱의 활동과 이번 공격을 살펴보면 버락 오바마 전 미국 대통령과 시진핑 중국 국가주석이 체결한 사이버 첩보활동 금지 합의 이후 톤토팀의 사명, 구조에 변화가 생겼을 가능성이 있다고 파이어아이 측은 분석했다.

이날 파이어아이는 아시아태평양 지역 조직의 경우 한번 해킹 공격을 당한 조직이 다시 공격을 당할 가능성이 다른 지역에 비해 높다는 내용의 보고서도 내놨다.

보고서에 따르면 아태 지역 파이어아이 침해·대응 관리 고객사의 78%가 지난 19개월 동안 동일하거나 유사한 동기를 지닌 해킹 조직에 의해 재차 표적이 됐다. 전 세계 평균 수치는 64% 정도다.

반면 아태 지역 조직 보안팀이 내부 네트워크에 들어온 공격자를 눈치챌 때까지 걸리는 시간은 총 262일로 8개월이 넘게 걸렸다. 미국이나 유럽·중동·아프리카(EMEA) 조직의 보안팀이 각각 46일, 61일 정도만에 침해를 탐지하는 것에 비해 상대적으로 대응 속도가 느린 셈이다. 이는 공격자가 해당 조직을 위태롭게 할 '목표'를 달성할 수 있는 시간이 훨씬 많다는 뜻이다.

전수홍 파이어아이코리아 대표는 "아태 지역 조직들은 여전히 사이버 공격의 배후를 탐지하는 과정에서 다른 지역에 비해 상대적으로 느린 속도를 보이고 있다"며 "과거 경험에 비춰볼 때 한국 기업들은 사이버 위협으로부터 자유로울 수 없으며, 앞으로 더 많은 보안 문제를 마주하게 될 것"이라고 말했다.