APT기반 글로벌 사이버공격 급증

데이터 탈취 노린 사이버 공격, 전 세계 동시 다발적으로 발생
l 보안 업체 파이어아이(FireEye)가 전 세계 184개국의 지능형지속공격(Advanced
Persistent Threat, APT) 관련 현황을 조사한 결과 보고서 ‘The Advanced
Cyber Attack Landscape’를 발표(′13.4.23)
- 파이어아이는 악성코드를 통해 특정 기관이나 기업의 네트워크에 침투, 활동 거점
을 마련하고 중요 데이터를 수집하는 APT 공격의 진원지를 분석
- 이를 위해 공격자가 APT 공격 수행 시 악성코드를 원격 조정하기 위해 사용하는
C&C(Command and Control) 서버 호스팅 지역을 파악
- 또한 C&C 서버가 악성코드에 감염된 네트워크로부터 데이터 유출을 요청하는 일종
의 해킹 공격 행위인 콜백(CallBack) 이벤트 발생 빈도를 분석
l 그 결과 2010년 130개국에서 출현했던 C&C 서버가 2012년에는 184개국에서
출현한 것으로 집계
- 또한 2012년 확인된 C&C 서버의 수만 2010년 대비 41% 증가한 것으로 확인됐으며,
이는 그만큼 APT 공격의 거점이 증가했다는 것을 의미한다고 지적
- 지역별로는 미국에 가장 많은 C&C 서버가 위치한 것으로 나타났으며, 그 뒤를 이어
한국과 중국, 러시아 등지에서도 상당수의 C&C 서버가 발견
2012년 전 세계 C&C 서버 분포도

※ 출처 : FireEye(2013.4.23)
l 2012년 전 세계에서 발생한 콜백 이벤트의 46%는 아시아 태평양 지역과 동유럽
지역에서 이루어진 것으로 확인
- 중국과 한국, 인도, 일본, 홍콩 등 아시아 지역에서 발생한 콜백 이벤트가 전체의
24%를 차지
- 또한 전체 콜백 이벤트의 22%는 러시아, 폴란드, 루마니아, 우크라이나, 카자흐
스탄 등 동유럽 국가에서 발생
- 이는 아시아 및 동유럽 지역에 위치한 네트워크 상당수가 악성코드에 감염되어
있으며 데이터 유출 위협을 받고 있음을 의미

한편, APT 공격 패턴의 경우 국가별로 조금씩 다른 특징을 보이고 있는 것으로
확인
- 파이어아이는 한국의 경우 단일 기업이나 기관을 대상으로 집중적인 APT 공격이
발생하고 있다고 설명
- 일본의 경우 APT 공격 진원지의 89%가 자국인 것으로 나타났으며, 영국과 캐나다
는 해커의 콜백 요청에 대한 방어율이 90% 이상을 상회하는 것으로 확인
중국 해커 그룹이 주도하고 있는 APT 공격의 주된 타깃은 IT 기업
l 파이어아이는 콜백 이벤트의 89%가 중국에 기반을 둔 해커 그룹이 제작한 공격
툴에 의해서 발생하고 있다고 지적
- 유명 APT 프로그램이 중국에서 제작된 것으로 밝혀지고 있으며, 다양한 국가에서
해당 프로그램이 활발히 사용되고 있다고 설명
l 또한 해커들이 주요 목표로 삼고 있는 조직이 IT 기업에 집중되어 있는 것으로 확인
- 악성코드가 침투한 네트워크를 산업별로 분류한 결과 기술(Technology) 기반 기업의
네트워크가 전체의 25%를 차지
- 뒤를 이어 금융 조직의 전산망이 전체의 14%를 차지했으며, 제조업, 헬스 케어
부문도 9%의 비중을 기록
2012년 산업별 악성코드 감염 비중

※ 출처 : FireEye(4.23)
참고문헌
1. FireEye, "The Advanced Cyber Attack Landscape", 2013.4.23
2. Market Wired, "FireEye Research Reveals Increasingly Global Nature of Advanced
Cyber Attacks", 2013.4.23