[헤럴드경제=정태일 기자]국내 에너지 기업을 노린 중국 기반의 해킹 공격이 최초 발견됐다는 분석이 제기됐다. 글로벌 보안기업 파이어아이는 25일 그랜드 인터컨티넨탈 서울 파르나스 호텔에서 사이버보안 기자간담회를 열고,중국과 연계된 사이버첩보단체 ‘톤토팀’이 지난해 12월 악성 소프트웨어(멀웨어) 캄손과 고스트를 이용해 국내 에너지 기업을 공격했다고 발표했다.
톤토팀은 2012년 전후 활동하기 시작한 것으로 추정되는 해킹 그룹으로 한국, 일본, 러시아 등의 군사 및 보안 관련 조직 대상 공격을 수행하고 있다.
파이어아이는 중국과 연계된 해킹 그룹이 국내 에너지 산업 관련 기업을 표적으로 한 사례는 이번이 처음이라고 강조했다.
톤토팀 공격에 활용된 캄손은 파일 업로드, 시스템 정보 수집 등의 기능을 갖고 있다. 고스트는 스크린 및 오디오 캡처, 웹캠 작동, 이벤트 로그 삭제, 파일 생성조작ㆍ삭제ㆍ실행ㆍ전송 등을 수행할 수 있다.
파이어아이는 캄손과 고스트 멀웨어 샘플이 뉴스 사이트로 가장한 도메인에 구축됐고, 이 같은 공격을 탐지해 차단했다고 설명했다.
이와 함께 멀웨어 배치와 공격 명령 구조를 분석한 결과, 톤토팀은 앞서 국내 포털사이트 다음(Daum)으로 위장했던 ‘탬프틱’과 연관됐다고 밝혔다. 두 그룹이 해킹 자원을 공유하거나 한국 등 동아시아 지역에 대한 공격에 협력하고 있음을 시사한다는 것이다.
이에 대해 파이어아이 측은 “톤토팀과 탬프틱의 공조 활동에 더해 최초 탐지된 에너지 부문 공격까지 발견돼 한국 등해당 지역에 더 큰 위협이 될 수 있음을 암시한다”고 주의를 당부했다.
killpass@heraldcorp.com
