반도체 전문 온라인 매거진 - 올포칩

카스퍼스키(www.kaspersky.co.kr  지사장 이효은)는 2024년부터 2025년 상반기까지 아시아태평양 지역에서 활동 중인 APT 그룹들의 주요 동기가 여전히 사이버 첩보 활동이라고 발표했다. 

카스퍼스키 GReAT(글로벌 리서치 및 분석팀)의 수석 보안 연구원 누신 샤밥은 해당 지역 정부의 국가 기밀, 군사 정보 등 다양한 고급 데이터를 끈질기게 노리는 주요 사이버 첩보 그룹들을 공개했다. 

“아시아태평양 지역은 긴장된 지정학적 상황으로 인해 항상 사이버 첩보 활동의 중심지였다. 여기에 빠른 디지털 및 경제 발전이 더해져 복잡한 위협 환경이 조성되고 있으며, 이는 고위급 기관 및 기업뿐만 아니라 주요 인프라 시설을 겨냥하는 다양한 위협 행위자들에 의해 형성되고 있다”라고 말했다. 

전 세계적으로 카스퍼스키 GReAT 연구원들은 900개 이상의 APT 그룹 및 작전을 모니터링하고 있다. 

아시아태평양 지역에서는 2024년부터 현재까지 다음과 같은 주요 그룹들이 활동 중이다:

• SideWinder – “아시아태평양 지역에서 가장 공격적인 위협”으로 불리는 이 APT 그룹은 정교한 공격 플랫폼과 스피어피싱을 통해 정부, 군사, 외교 기관을 겨냥하고 있다. 이 그룹은 방글라데시, 캄보디아, 베트남 등의 해양 분야와 중국, 인도, 몰디브의 물류 산업에 지속적인 관심을 보이고 있다. 2024년 3월, 카스퍼스키 GReAT 전문가들은 이 그룹이 남아시아 전역의 원자력 발전소 및 에너지 시설에 대한 공격에 집중하고 있다는 사실을 밝혔냈다. 

SideWinder는 탐지를 피하기 위해 도구를 빠르게 적응시키며 지속적인 위협으로 남아 있다. 원자력 기반시설을 겨냥할 때는 규제 또는 시설 운영 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용한다. 이메일을 열면 악성코드 체인이 작동되어 운영 데이터, 연구 자료, 인사 정보 등에 접근할 수 있게 된다. 스리랑카, 네팔, 미얀마, 인도네시아, 필리핀도 SideWinder의 타깃에 포함되어 있다. 

• Spring Dragon (aka Lotus Blossom) – 이 위협 행위자는 베트남, 대만, 필리핀에 관심을 가지며, 스피어피싱, 익스플로잇, 워터링 홀 공격(Watering Hole Attack)을 통해 피해자의 시스템에 침투한다. 카스퍼스키 연구진은 동남아시아 정부 기관을 대상으로 10년간 약 1,000건 이상의 악성 샘플을 탐지했다. 

• Tetris Phantom – 2023년 카스퍼스키 GReAT 전문가들이 발견한 이 APT 그룹은, 특수 보안 USB 드라이브를 겨냥한 고급 악성코드를 처음 배포했다. 2024년부터는 BoostPlug와 DeviceCync(ShadowPad, PhantomNet, Ghost RAT을 감염시키는 도구)라는 두 개의 공격 도구를 추가했다. 

• HoneyMyte – 미얀마와 필리핀을 포함한 동남아시아의 정부 및 외교 기관에서 민감한 정치 및 전략 정보를 탈취하는 것으로 알려진 이 위협 행위자는 2024년부터 2025년까지 다양한 로더를 통해 ToneShell 악성코드를 배포하고 있다. 

• ToddyCat – 2020년부터 말레이시아의 고위급 타깃을 주요 목표로 삼는 이 기술적으로 정교한 그룹은 공개된 코드를 기반으로 악성 도구를 개발해 정당한 보안 소프트웨어를 우회하며 은밀하게 접근을 유지한다. 

• Lazarus – 악명 높은 “방글라데시 중앙은행 해킹 사건(Bangladesh Bank Heist)”으로 잘 알려진 이 국가 배후의 APT 그룹은, 사이버 첩보와 금전적 동기를 모두 가진 주요 위협 행위자로 APAC 지역에서 활발히 활동하고 있다. 

올해 초, 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 ‘Operation SyncHole’이라는 라자루스의 새로운 캠페인을 포착했다. 이 작전은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것으로, 조사 중에 인노릭스 에이전트(Innorix Agent) 소프트웨어에서 제로데이 취약점(Zero-day Vulnerability)도 발견되었다. 최소 6곳 이상의 한국 주요 기업이 타깃이었으며, 실제 피해 기업 수는 더 많을 수 있다. 

• Mysterious Elephant – 2023년 5월 카스퍼스키가 처음 관찰한 이 그룹은, 명령 실행 및 파일 조작이 가능한 새로운 백도어 계열(Backdoor Families)을 배포하며, 기존의 Dropping Elephant, Origami Elephant, Bitter, Confucius, Side 등의 기술과 유사하거나 중복되기도 한다2025년에는 파키스탄, 스리랑카, 방글라데시를 타깃으로 새로운 도구와 기술을 지속적으로 추가하고 있다. 

카스퍼스키 GReAT의 수석 보안 연구원 누신 샤밥은 “금전적 이득을 노리는 일반적인 사이버 범죄자들과 달리, 정부, 군사 기밀, 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다. 아시아태평양 지역의 주요 APT 활동을 살펴보면, 이들이 단순한 데이터 탈취가 아닌, 지정학적 우위를 점하기 위한 전략적 행동이라는 점을 알 수 있다. 민감한 분야에 속한 조직일수록 사이버 보안 역량을 강화하고 위협 인텔리전스에 적극적으로 투자해야 한다”라고 강조했다. 

카스퍼스키 이효은 한국지사장은 “단순히 금전적 이익만을 목적으로 하는 일반적인 사이버 범죄와 달리, 핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 지니고 있다. 아태지역의 공격 양상을 볼 때, 이는 단순한 데이터 탈취가 아니라 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도다. 따라서 한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계를 고도화하고, 위협 인텔리전스 자원을 심층적으로 통합하며, 끊임없이 진화하는 공격 기법에 대응하기 위해 동적 방어를 도입함으로써 보안의 최후 방어선을 지켜야 한다”라고 말했다.