이란 핵시설·美선거에 SKT까지 … 'APT 해킹'에 당했다

작성일 07-16

<div id="layerTranslateNotice" style="display:none;"></div> 국가·기업 노리고 은밀하게 침투 … 현대사회 뒤흔드는 'APT 해킹' 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="yIiNiRmeCx">
 <figure class="figure_frm origin_fig" contents-hash="e5a432e4e2efc5b0fcee34722a9e4512faa0b41bcd75fa482e4d2f25bef1142a" dmcf-pid="WCnjnesdvQ" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/16/mk/20250716164507594ivvb.jpg" data-org-width="1000" dmcf-mid="QdBfBue7lR" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/16/mk/20250716164507594ivvb.jpg" width="658">
 </figure>
 2000년대 중반 이란은 국제사회의 경고에도 불구하고 핵개발을 계속했다. 이란 중부 이스파한주의 나탄즈에서는 수천 대의 원심분리기가 돌아가고 있었다. 외교와 각종 제재에도 이란이 핵개발을 멈추지 않자 미국과 이스라엘은 은밀한 공작을 준비했다. 이란 핵개발에 참여한 외부 협력업체를 파악한 뒤 협력업체 직원이 사용하는 USB로 원심분리기 제어망에 침투해 악성코드를 심었다. 악성코드는 원심분리기 오작동을 유발했고, 고장난 수천 대의 원심분리기가 멈춰 섰다.
 2010년 벨라루스의 한 보안 기업이 이란 기업의 컴퓨터에서 정체불명의 악성코드 '스턱스넷'을 발견했다. 미국 국가안보국(NSA)과 이스라엘 정보국 산하 사이버 작전 전문 부대인 8200부대가 2005년부터 4년에 걸쳐 준비하고 수행한 비밀 작전 '올림픽 게임'의 전모가 세상에 드러난 것. 'APT(지능형지속공격)'라는 신종 해킹 기법이 널리 알려진 순간이었다.
 해킹 조직들은 APT 공격을 적극 활용하고 있다. 가입자고유식별번호(IMSI), 유심 인증키, 전화번호와 단말기고유번호(IMEI) 일부 등 2700만건의 정보가 유출된 최근 SK텔레콤 해킹 사건도 APT 공격에 무게가 실린다. 업계에 따르면 최초 악성코드는 2021년 설치됐고, 이후 장기간 은밀한 잠입이 이뤄졌다.해커들은 VPN 초기 접속 지점을 통해 내부 서버로 접근했고, 정보가 탈취됐다. 보안업계에선 조직적인 해킹 수법으로 볼 때 국가의 지원을 받은 APT 공격 그룹의 가능성에 주목하고 있다.
 <figure class="figure_frm origin_fig" contents-hash="5fea6dda65ac0da8db3e9dfee23463274c73bef0a1bb57ab332b49141bae3dcb" dmcf-pid="XvaEanhLh4" dmcf-ptype="figure">
 <img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/16/mk/20250716164508983xkly.jpg" data-org-width="403" dmcf-mid="xRvHvCphlM" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/16/mk/20250716164508983xkly.jpg" width="658">
 </figure>
 APT는 특정 정부나 기관, 기업의 고급 정보를 수집하는 것을 목표로 오랜 시간 공을 들여 준비한 뒤 천천히 진행된다. 일반 해킹이 기회가 보이면 바로 치고 빠지는 속전속결 양상을 보이는 것과 달리 준비 기간도 수개월~수년에 달한다. 스턱스넷도 몇 년에 걸쳐 준비한 것으로 알려져 있다. 흔적을 남기지 않고 조용히 침투해 목적을 완수한 뒤 사라지는 것도 특징이다. 군중 속에 숨어들어 표적을 암살하고 소리소문 없이 자취를 감추는 암살자와 같다는 평가가 나오는 이유다.
 민주주의의 꽃이라고 불리는 선거 역시 APT 공격의 주요 목표 중 하나다. 2016년 미국 대선이 대표적인 사례다. 당시 민주당 전국위원회(DNC)와 힐러리 클린턴 후보의 선대본부장이었던 존 포데스타 등에게 '비밀번호 재설정' 이메일이 전송됐다. 해킹 세력은 이를 통해 타깃의 구글 계정을 탈취했고, 수천 건의 내부 이메일을 들여다볼 수 있었다. 이 이메일에는 민주당의 선거 전략, 주요 기부자 목록, 언론 대응 계획 등 민감한 내용들이 담겨 있었다. 해킹 세력은 민주당에 타격이 될 정보를 전당대회 직전 대거 유출하고, SNS에서 가짜 계정을 다수 운영하는 등 '미국 내 사회 갈등을 유발해' 선거에 개입하려고 했다.
 2017년 이 해킹 사건의 배후에 러시아가 있다는 조사 결과가 발표되며 큰 파장이 일었다. 미국 연방수사국(FBI), 중앙정보국(CIA), NSA 등은 보고서를 통해 "러시아 총정찰국(GRU)이 도널드 트럼프의 당선을 돕기 위해 선거에 조직적으로 개입했다"고 결론지었다. 실제 당시 공작으로 인해 클린턴 후보의 신뢰도가 떨어지고, 특정 경합주에선 여론이 민주당 측에 불리하게 움직인 것으로 드러났다. 해킹이 단순 기술 탈취, 기간산업 파괴를 넘어 민주주의를 흔들 수도 있게 된 것이다.
 세계경제포럼(WEF)은 2022년 글로벌 리스크 리포트를 통해 "APT는 현대사회가 직면한 가장 은밀하고 파괴적인 디지털 위협"이라는 분석을 내놓은 바 있다.
 APT는 크게 목표 설정과 정찰, 침투 경로 마련, 내부 잠입과 확산, 정보 수집과 명령 수행, 흔적 제거와 장기 은폐 등 다섯 단계를 거친다. 우선 공격자는 특정 기업, 정부기관, 인물 등을 표적으로 삼고 공개된 자료, SNS 협력업체 정보까지 전부 파악한다. 러시아 해커 그룹인 APT28이 힐러리 클린턴 민주당 대선후보 캠프 인사들의 이메일 주소와 비밀번호 패턴을 수집한 뒤 가짜 구글 보안 경고를 보낸 사례가 대표적이다.
 목표가 결정되면 다음은 침투할 경로를 마련한다. 목표 맞춤형 악성코드를 제작해 표적에 딱 맞는 방식으로 침투하는 것이다. 스턱스넷 사례처럼 감염된 USB나 피싱 메일 등을 활용해 보안이 취약한 협력업체의 서버 등을 노리는 식이다. 치밀한 준비 과정을 거쳐 은밀하게 침투했다면 다음 단계는 잠입과 확산이다. 감염된 시스템 안에서 관리자 계정을 탈취하고, 내부망의 다른 시스템으로 옮겨다니면서 널리 퍼져나간다. 시스템에 몰래 설치돼 사용자나 보안 시스템을 피해 공격자가 시스템을 조종하거나 정보를 탈취할 수 있게 해주는 '루트킷'의 설치도 이때 이뤄진다.
 중국 인민해방군 소속으로 알려진 APT1이란 해커 집단은 2006년부터 2013년까지 7년 가까이 미국 방산, 에너지, 항공, 정보기술(IT), 우주산업부터 언론사까지 140여 개 기업을 휘젓고 다녔다. 피해자의 PC에 백도어와 루트킷을 설치해 내부망으로 침투했고 이메일 서버, CAD 데이터베이스 등에 차례로 침투해 설계도, 계약서 등 주요 문서를 대거 탈취했다. 구글 클라우드 보안 자회사인 맨디언트에 따르면 해커들은 한 기업에 평균 1년, 길게는 무려 4년까지 잠복 활동하며 주요 기밀 자료를 빼냈다. 해커들이 빼돌린 자료들은 중국 상하이에 위치한 APT1의 서버로 전송됐다. 맨디언트는 "록히드마틴의 전투기 설계도, 웨스팅하우스의 원자력 기술 정보 등이 중국으로 유출된 것으로 추정된다"는 보고서를 냈다.
 서버 내부로 잠입해 널리 퍼지고 난 다음엔 해커들이 정보 수집과 정해진 명령을 수행하게 된다. 앞선 중국 사례처럼 군사, 기술, 경영 정보를 수집해 외부로 전송하거나 러시아 해커들처럼 선거에 개입하고, 설비를 파괴하며 여론 조작 등 실제 공격을 실행한다.
 목표한 공격이 마무리되면 해킹 정황이 의심되는 흔적을 지운다. 해커들은 로그를 삭제하고 악성코드를 은폐하며 보안 시스템을 무력화한다. 백도어의 경우 향후 다시 침투할 경우를 대비해 남겨놓기도 한다. 해킹이 탐지되더라도 해킹 주체를 추적하기 어렵게 흔적을 조작하기도 한다.
 미국 NSA가 주도한 것으로 알려진 '이퀘이션그룹'은 2001년부터 2015년 그 존재가 알려지기 전까지 무려 14년간 조용히 활동해왔다. 이들은 전 세계 12개 이상의 하드디스크드라이브(HDD) 제조사 펌웨어(마이크로프로세서 등 기본 구동을 담당하는 소프트웨어) 구조를 파악해 하드디스크 펌웨어에 악성코드를 심는 기술을 개발했다. 하드디스크 펌웨어는 일반 운영체제(OS)보다 더 깊은 곳에 위치해 디스크 포맷 OS 재설치, 백신 검사로도 악성코드를 찾아낼 수 없다.
 APT는 이처럼 다양한 공격 기법을 정교하게 조합해 실행하는 종합예술에 가깝다. 특정 인물을 겨냥한 맞춤형 공격 '스피어 피싱', 미공개 소프트웨어의 취약점을 이용해 침투하는 '제로데이 공격', 피해자가 자주 방문하는 웹사이트에 악성코드를 심는 '워터링 홀', 사용자의 로그인 정보를 탈취하는 '크리덴셜 하이재킹', 악성코드를 보안 시스템에서 숨기는 '루트킷', 탐지를 피하기 위해 데이터를 일정 시간 간격으로 외부로 조금씩 빼돌리는 '시간차 유출' 등 각종 해킹 수법을 맞춤형으로 구성해 사용한다. 또한 수년에 걸친 장기 작전 수행 능력을 보유해야 하며, 다양한 기술을 적재적소에 구사할 수 있어야 한다. 오랜 시간 공들여 대상을 관찰하고 맞춤형 무기를 준비해 해킹에 나선다는 점에서 개인이 할 수 있는 수준을 벗어난다. 전문가들이 APT는 국가의 지원을 받는 조직이나 대형 사이버 범죄 조직이 수행할 수 있는 공격으로 보는 이유가 여기에 있다. 
 APT 해킹
 'Advanced Persistent Threat'의 약자로 고도화된 기술(Advanced), 지속적인 침투(Persistent), 명확한 공격(Threat)이 특징. 금전이나 계정 탈취 등 즉각적인 이익을 위해 자행되는 일반 해킹과 달리 APT는 특정 정부나 기관, 기업의 고급 정보를 수집하는 것이 목표로 오랜 시간 공을 들여 준비한 뒤 천천히 진행된다.
 [이영욱 기자]
 </section> 
 </div> 
 Copyright © 매일경제 &amp; mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이전

‘컬투쇼’ 이찬원, 야구 팬심 활활

07-16
다음

아크, 5개월 만에 컴백 "'글로벌 Z세대' 아이콘으로 성장할 것"

07-16

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

이란 핵시설·美선거에 SKT까지 … 'APT 해킹'에 당했다

멤버랭킹

관련자료

멤버랭킹