[디지털데일리 이종현기자] 미국과 영국의 정보기관이 러시아 해킹그룹 ‘APT28’에 대한 경고문(Advisory)을 발표했다.

1일(현지시각) 미국 국가안보국(NSA), 연방수사국(FBI) 사이버안보·기간시설·안보국(CISA)과 영국의 국가사이버보안센터(NCSC)는 2019년 중반부너 미국과 글로벌 조직에 대해 악의적 사이버 활동을 공개했다.

미-영 정보기관에 따르면 러시아 정보기관 정찰총국(RRU) 내 특수조직 ‘GTsSS’는 2019년 중반부터 2021년 초까지 쿠버네티스 클러스터를 통해 전 세계 수백개의 정부 및 민간 부문 대상의 무차별대입공격(Brute Force Access Attempts)을 수행했다.

미-영 정보기관은 GTsSS가 APT28, 팬시 베어(Fancy Bear), 스트론티움(Strontium) 등의 이름으로 불리는 해킹그룹과 동일 그룹이라고 밝혔다. 또 GTsSS의 공격은 정부와 군 관련 기관, 정치계, 방산업체, 에너지 기업, 유통 기업, 교육 기관, 미디어 등 전방위적으로 펼쳐졌으며 이는 현재도 진행 중이라고 경고했다.

NSA 등 기관은 이와 같은 공격을 막기 위해 다중인증을 도입할 것을 권고했다. 또 로그인 시도가 지속해서 실패하면 일시적으로 계정을 비활성화하는 등의 방법도 제시했다.

NSA는 “GTsSS의 공격은 글로벌하게 이뤄지고 있지만 주로 미국과 유럽체 초점을 맞추고 있다”며 “국방부(DoD), 국가안보시스템(NSS), 국방산업기지(DIB) 시스템 관리자에게 경고문에 포함된 타협지표(IoC)를 즉시 검토하고 적용할 것을 권장한다. 가장 효과적인 방법은 다단계 인증을 도입하는 것”이라고 전했다.

보안기업 파이어아이의 맨디언트 위협 인텔리전스 수석분석가 존 헐트퀴스트(John Hultquist)는 “APT28은 군사 정보 기관의 사이버 부서로서 타겟에 대한 정기적인 인텔리전스 수집을 담당한다. 이 그룹의 주요 소득원은 정책 입안자, 외교관, 군부 및 방위산업에 대한 일상 정보 수집”이라며 “이들이 다가오는 올림픽을 방해하는 시도를 할 수 있다”고 피력했다.

이번 경고문은 국내에서도 주요 기업·기관을 노린 사이버공격이 기승을 부리고 있는 상황에서 발표됐다. 한국원자력연구원, 한국항공우주(KAI), 대우조선해양이 동일한 가상사설망(VPN) 취약점으로 공격받은 것으로 알려졌다. 피해 규모는 파악 중이다.

일각에서는 한국도 공격에 대한 정보를 공표하고 대비 태세를 갖춰야 한다는 주장이 나오는 중이다. 국내 기업·기관을 노린 공격자는 북한 정부를 배후로 둔 해킹조직 ‘김수키’로 추정되고 있다. 하태경 의원(국민의힘)은 “국가 주요 기관이 북한 추정 세력으로 해킹 당한 정황이 드러났다. 국가 사이버 테러 비상사태를 선언해야 한다”고 주장했다.

한편 국가정보원은 에너지 및 기반 시설을 대상으로 한 해킹시도가 늘어남에 따라 연초부터 이들 시설에 대한 특별 점검을 실시하고 있다.