5일 파이어아이는 사이버보안 컨퍼런스 ‘사이버 디펜스 라이브 서울(Cyber Defense Live Seoul)’의 일환으로 진행한 간담회에서 ‘국내 주요기관을 노리는 북한의 사이버 공격 그룹 APT37’이라는 주제의 연구 결과를 발표하며 이같이 밝혔다.

파이어아이의 설명에 따르면, ‘APT37’은 지난해부터 활동반경을 한국에서 일본, 베트남 및 중동지역 등으로 넓히고 있다. 이렇게 공격목표 범위를 넓힌 것은 북한의 전략적 이익에 직접적인 연관성이 있는 것으로 추정된다.

파이어아이는 ‘APT37’을 북한 사이버 공격 그룹으로 판단한 이유로 ▲초기 국내 공공기관과 방산·제조 분야 사설 업체 등 주로 국방과 연관된 분야를 노린 점 ▲공격 중간 북한에서 주로 사용하는 악성코드와 제로데이를 발견한 점 등을 제시했다. 또한 ‘APT37’의 공격을 받은 중동의 기업을 살펴보면, 이 기업이 북한과 사업을 진행하다가 무산되면서 관계가 악화된 시기부터 공격이 진행됐다고 덧붙였다.

또한 ‘APT37’은 초기 침투를 위해 스피어피싱을 활용하며, 공격목표를 타깃한 지능형 공격을 진행하는 것으로 나타났다. 더불어 최근 발표된 어도비 플래시 취약점(CVE-2018-4878)은 ‘APT37’이 발견한 취약점으로 추정됐다.

한편, 이날 파이어아이는 지난해 맨디언트(Mandiant) 조사를 통해 확인한 통계와 인사이트를 담은 ‘2018 M-트렌드 보고서(M-Trends 2018)’ 일부 내용도 발표했다. 이 보고서에 따르면, 아시아 태평양 지역 기관의 네트워크에 공격자들이 평균 체류하는 시간은 498일로 조사됐다. 이는 글로벌 평균 체류 시간인 101일의 약 5배에 이르는 수치다.

보고서는 또한, 아·태지역 소재 기관 중 이미 한 번 표적이 된 기관은 계속 노려질 수 있다고 경고했다. 아·태지역 기관이 다수의 공격자로부터 여러 건의 피해를 당한 경험은 유럽, 중동, 아프리카 지역, 또는 북미 지역보다 두 배 이상 높은 수치를 보였다. 한 번 이상 공격 시도를 당한 아·태지역 파이어아이 고객사 중 91%가 또다시 공격그룹의 표적이 된 것으로 나타났다.

팀 웰스모어(Tim Wellsmore) 파이어아이 아·태지역 위협정보분석 디렉터는 “‘APT37’은 ‘한글’ 등 한국에서 많이 사용되는 소프트웨어의 취약점을 악용한 공격도 진행한 바 있다”며, “특히 이들은 취약점을 만들 수 있는 역량을 갖춘 고도화된 공격 그룹”이라고 말했다.