［헤럴드경제= 정태일 기자］러시아 보안전문 기업 카스퍼스키랩은 군사, 해양, 통신, 위성 등 국내 방위 산업체를 노린 신종 사이버 스파이 ‘얼음안개(Icefog)’의 정체를 확인했다고 26일 밝혔다.

‘Icefog’는 대한민국과 일본을 대상으로 공격의 초점을 맞춘 소규모 전문 APT 공격 조직으로 2011년부터 공격을 시작한 것으로 카스퍼스키랩은 분석했다.

코스틴 라우 카스퍼스키 랩의 글로벌 연구&분석 책임자는 “지난 몇 년 동안 기업과 정부 기관 네트워크에 발판을 두며 테라바이트 수준의 대규모 기밀 정보가 유출됐는데, 이를 가능케 한 것은 ‘Icefog’의 치밀한 ‘치고 빠지기’ 공격 방식 때문”이라며 “공격은 보통 며칠 또는 몇 주 동안 지속됐고 원하는 정보를 얻은 후에는 공격 흔적을 정리했다”고 설명했다.

나아가 “앞으로 이러한 ‘치고 빠지기’ 공격 방식처럼 이를 전문으로 하는 소규모 ‘APT-to-hire’(용병에 의한 APT 수행) 조직이 늘어날 것으로 예상된다”고 덧붙였다.

카스퍼스키랩 분석 결과 공격자는 군사, 조선ㆍ해양, 컴퓨터ㆍ소프트웨어 개발, 연구 기업, 통신 사업자, 위성 통신, 대중 매체ㆍ텔레비전 등에 주로 접근해온 것으로 나타났다.

유출된 주요 데이터는 피해자의 내외부 네트워크에 접근할 수 있는 암호, 이메일 계정 자격 증명, 회사의 각종 기밀 문서 등이다. 스파이 활동 시 마이크로소프트 윈도와 맥 OS X 모두에서 Icefog 버전이 존재했다.

카스퍼스키랩은 국내와 일본뿐만 아니라 중국, 미국 등 여러 국가들에게서 4000개 이상의 고유한 감염 IP와 수백 명의 피해자(수십 명의 윈도 사용자와 350명 이상의 맥 OS X 사용자)를 파악했다고 강조했다. 이와 함께 이번 공격의 배후 중 일부는 적어도 중국, 한국, 일본에 그 근거지를 두고 있을 것으로 추정했다.

이와 관련 한국인터넷진흥원(KISA)는 26일 공지사항을 통해 “카스퍼스키사와의 국제협력을 통해 한국 및 일본 등을 대상으로 정보를 유출하는 악성코드가 유포되고 있다는 정보를 입수하고 관련 악성코드를 분석했다”며 “분석결과, 악성코드는 감염 PC를 원격조정하고 내부자료를 유출하는 등의 기능이 내재됐다”고 밝혔다. 한국의 경우 90여 대의 PC가 감염된 것으로 추정된다.

KISA는 또 “악성코드는 MS 사무용 프로그램 및 아래 한글 문서 등의 취약점을 이용해 이메일 등을 통해 유포되었으며, PC 감염 후 명령제어서버로 정보를 유출하는 방법을 이용하고 있다”면서 “KISA는 피해 예방을 위해, 악성코드 분석과정에서

나타난 명령제어서버를 차단했다”고 밝혔다.

이밖에 KISA는 “인터넷 이용자들은 악성코드 감염 예방을 위해 백신 등을 최신 버전으로 업데이트하고, 게시판 첨부파일 열람 시 반드시 악성코드 검사를 수행해 주기 바란다”면서 “기업은 자사 이메일 서버 내 수상한 메일 유입 여부 점검, 직원

들 PC의 보안점검, 최신 프로그램 업데이트를 권장한다”고 당부했다.

killpass@heraldcorp.com