[디지털데일리 홍하나기자] 중국 정부의 지원을 받는 해커집단이 작년 말 국내 에너지 기업을 대상으로 표적공격을 한 것으로 나타났다.

파이어아이는 25일 서울 삼성동 그랜드인터컨티넨탈 호텔에서 ‘한국과 아시아 지역에 대한 사이버 위협:변화와 대비’ 기자 간담회를 개최하고, 중국 정부지원 해커집단 ‘톤토팀(Tonto Team)’의 표적 공격을 공개했다.

톤토팀은 지난해 12월 캄손, 고스트 악성코드를 이용해 한국 에너지기업을 공격했다. 당초 이 해커집단은 한국, 일본, 러시아를 대상으로 안보, 첨단기술, 해상, 화학, 정부, 항공우주, 방위 산업 기지 등에 공격을 진행해오다 작년 말 처음으로 국내 에너지 기업을 공격했다.

파이어아이는 중국과 연계된 톤토팀이 2018년 하반기 캄손과 고스트 멀웨어 페이로드를 이용해 한국의 에너지 기업을 공격한 것으로 판단했다. 다만 해당 공격의 최초 감염 요소는 알려지지 않았다.

파이어아이는 “과거 공격사례를 기반으로 톤토팀의 행위라고 의심되는 캄손이 공격에 이용된 것으로 관찰됐다”며 “다행히 파이어아이의 차단으로 해당 기업의 피해는 없었다”고 밝혔다.

또 캄손과 고스트 멀웨어 샘플 모두 뉴스 사이트로 가장한 도메인에 호스팅됐다. 이 사이트는 사이버 공격 그룹이 제어하는 주소일 가능성이 높다고 파이어아이 측은 설명했다.

아울러 파이어아이는 톤토팀과 과거 국내 포털 사이트 다음(Daum) 관련 도메인으로 위장했던 ‘탬프틱’의 연관성에 대해서도 밝혔다. 2009년부터 활동을 시작한 탬프틱은 한국과 일본 등 민간 부문 조직을 주요 공격대상으로 삼았다.

파이어아이가 멀웨어 배치와 공격 명령 구조를 분석한 결과, 톤토팀과 탬프틱 사이 관련이 있는 것으로 나타났다. 톤토팀과 탬프틱은 명령 및 제어를 위해 동일 IP 주소를 사용했다.

파이어아이는 “두 그룹이 특정 레벨에서 리소스를 공유하거나 동아시아 지역의 관심 표적에 대한 공격에 협력하고 있을 가능성을 암시한다”고 설명했다.

이와 함께 파이어아이는 2018년 아태지역 조직에서 사이버 침해가 시작될 때부터 내부 보안팀에 의해 확인될 때까지 공격자가 피해 조직 내 네트워크에서 활동한 공격 지속 시간은 총 262일로, 8개월이 넘는 시간인 것으로 나타났다.

반면 미국과 유럽, 중동 및 아프리카(EMEA) 조직들의 내부 보안팀이 일반적으로 침해를 탐지하는 시간은 각각 46일, 61일로 상당히 빠른 편으로 나타났다.

<홍하나 기자>hhn0626@ddaily.co.kr