파이어아이, “APT32 공격 대상은 베트남 진출 해외 기업”

보안 전문업체 파이어아이가 5월25일 사이버위협 그룹 ‘APT32’가 베트남에서 사업을 하고 있거나 투자 예정인 외국계 기업들을 위협하고 있다고 발표했다.

▲파이어아이 로고

‘오션로터스 그룹’으로 알려진 APT32는 베트남 정부와 이해관계를 공유하는 사이버 스파이 그룹이다. APT32는 베트남의 국가적 이득을 증대시킬 수 있는 사이버 공격을 벌여왔다.

파이어아이는 2014년부터 APT32의 활동을 추적한 결과, 이 그룹의 공격 대상이 베트남 내 사업과 관련된 해외 기업들이었다고 밝혔다. 사업 분야는 제조, 소비재, 부동산 등 다양했다.

2014년에는 베트남에 제조 시설을 건설하려던 유럽 기업들이 ATP32의 공격 피해를 당했다. 2016년에는 베트남 및 외국계 네트워크 보안, 기술 인프라, 금융, 미디어 부문의 기업들이 공격의 대상이 됐다. 또 같은 해 중반에는 베트남에서 사업 확장을 계획중이던 글로벌 숙박 및 관광 개발 기업 네트워크에서 APT32의 소행임을 나타내는 특징적 멀웨어가 감지되기도 했다. 지난해부터 올해 사이에는 미국과 필리핀 소비재 기업의 베트남 지사가 APT32의 공격 대상이 됐다.

파이어아이에 따르면, APT32는 산업계뿐 아니라 베트남의 국가적 이익과 관련된 해외 정부 기관, 반체제 인사, 언론인도 공격해왔다. APT32가 2014년 ‘베트남 대사관의 시위자 단속 계획’이라는 제목을 단 메일을 통해 스피어 피싱을 시도한 것이 한 예다.

파이어아이 추적 결과 드러난 APT32의 최근 공격 기법은 사회공학적이었다. 피해자가 매크로를 활성화하도록 유도하는 기법이다. 스피어 피싱 이메일에 악성 코드 첨부 파일을 전달하는 기법도 있다. APT32는 공격 대상에 다국어로 디자인된 미끼용 파일을 보내기도 했다.

전수홍 파이어아이코리아 지사장은 “다국적 기업을 타깃으로 한 APT32의 연이은 공격은 해외에서 비즈니스를 하는 한국 기업에 경각심을 불러일으키는 계기가 돼야 할 것”이라면서 “사이버 공격 능력을 가진 국가의 수가 증가하고 있어 기업들은 새로운 위험성에 대해 주의 깊게 고려해야 한다”라고 말했다. 그는 “사이버 공격을 빠르게 탐지하고 대응하기 위해서는 기술뿐 아니라 전문성이 필요하다”라고 덧붙였다.