[디지털데일리 최민지기자] 중국 기반 위협그룹이 베트남을 대상으로 사이버공격을 감행하면서, 베트남에 진출한 한국기업들 주의가 요구된다.

클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 ‘2024년 7월 CTI(Cyber Threat Intelligence) 월간 리포트’를 발행했다고 18일 밝혔다.

로그프레소는 이번 보고서에서 베트남을 대상으로 한 머스탱 판다(Mustang Panda)의 지능형지속위협(APT) 공격 사례를 분석해 공개했다. 머스탱 판다는 중국을 기반으로 하는 위협그룹으로 중국의 반정부 종교단체와 아시아 정부기관, NGO, 언론사를 대상으로 많은 공격을 시도하고 있다. 공격 대상 언어를 이용해 정부기관을 사칭하거나, 코로나19와 러시아-우크라이나 분쟁 등 주요 국제 사건을 활용해 스피어 피싱을 진행하는 것으로 악명 높다.

머스탱 판다는 베트남을 겨냥한 최근 두 차례 공격에서 영어 프로그램 안내문과 세금 관련 공문으로 위장해 악성코드 실행을 유도했다. 이들은 정상 프로그램이 악성코드를 실행하도록 유도하는 DLL 사이드 로딩(Side-Loading) 기법을 활용해 PC를 장악한 후 중요 문서를 주기적으로 유출하고, 키로깅으로 문서 암호와 계정 암호 등 사용자의 중요 정보를 유출했다.

장상근 로그프레소 연구소장은 “삼성전자, LG전자, 현대자동차 등 국내 굴지 기업들의 공장이 위치하고 있는 베트남은 한국과 경제적으로 긴밀한 관계를 맺고 있다”며 “많은 기업들이 진출해있는 해외에서 발생한 사이버 공격은 한국 업체에도 큰 피해를 줄 수 있으므로 지속적으로 모니터링하고, 주의를 기울여야 한다”고 전했다.

이와 함께 로그프레소는 베트남 사용자의 크리덴셜 유출 정보 약 8억9000건을 수집해 악성 봇 감염 실태를 분석했다. 베트남 경우, 다른 국가에 비해 민간 서비스에서의 계정정보 유출이 전체의 96% 가량을 차지하며 높은 비중을 보였다. 공공분야에서는 서비스 관리자로 추정되는 다수의 계정정보 유출을 확인했으며, 대부분 관리자 페이지가 일원화돼 공격자가 관리자 페이지를 추측하고 크리덴셜 스터핑 공격을 감행할 수 있는 취약점을 분석했다.

이 외에도 로그프레소 CTI 리포트 7월호는 ▲카카오톡 계정 탈취 취약점 ▲스노우플레이크 사용자 크리덴셜 및 데이터 탈취 ▲뉴욕타임즈 깃허브 데이터 유출 ▲개인정보 유출 공공기관 역대 최다 발생 ▲북한 해커와 연관된 신규 맥(mac)OS 백도어 등 다양한 내용을 포함하고 있다. 해당 리포트는 로그프레소 홈페이지에서 볼 수 있다.