아주경제 장윤정 기자= 카스퍼스키랩은 대한민국의 방위 산업체를 노린 신종 사이버 스파이 활동인 '아이스포그(Icefog)'의 정체를 밝혔다고 발표했다.

아이스포그는 국내와 일본을 대상으로 공격의 초점을 맞춘 소규모 전문 지능형지속위협(APT) 공격 조직이다. 2011년부터 시작된 이 공격은 지난 수 년간 그 규모와 범위가 확대되고 있다.

카스퍼스키 랩의 글로벌 연구&분석 책임자인 코스틴 라우는 “지난 몇 년 동안 카스퍼스키랩은 거의 모든 분야를 대상으로 한 APT 공격을 확인했다"며 "대부분의 경우 공격자는 수 년간 기업과 정부 기관 네트워크에 발판을 두며 테라바이트 수준의 대규모 기밀 정보를 은밀히 유출했다. 이를 가능케 한 것은 아이스포그의 치밀한 ‘치고 빠지기’ 공격 방식 때문"이라고 밝혔다.

아이스포그는 치고빠지기 공격 형태로 보통 며칠 또는 몇 주 동안 지속되었고 원하는 정보를 얻은 후에는 공격 흔적을 정리하는 방법을 썼다. 카스퍼스키랩측은 "앞으로 이러한 ‘치고 빠지기’ 공격 방식은 ‘사이버 용병’의 한 종류로 이를 전문으로 하는 소규모 ‘APT-to-hire’(용병에 의한 APT 수행) 조직의 증가를 가져올 것"이라고 전망했다.

이 회사의 조사에 의하면 확인된 공격 대상의 프로필을 근거로 유추해본 결과 공격자는 군사, 조선/해양, 컴퓨터/소프트웨어 개발, 연구 기업, 통신 사업자, 위성 통신, 대중 매체/텔레비전 등에 관심을 가지고 있는 것으로 나타났다. 또 유출된 주요 데이터는 피해자의 내/외부 네트워크에 접근할 수 있는 암호, 이메일 계정 자격 증명, 회사의 각종 기밀 문서 등이다.

스파이 활동 시 공격자는 아이스포그(Icefog) 백도어 세트를 사용했으며, 마이크로소프트 윈도와 맥 OS X 모두에서 아이스포그 버전이 존재했다.

카스퍼스키랩은 공격자가 사용한 70개 이상의 도메인 중 13개를 카스퍼스키랩의 싱크홀(함정) 서버로 유도해 공격을 분석했다. 분석 결과 대한민국, 일본뿐만 아니라 중국, 미국 등 여러 국가들에게서 4000개 이상의 고유한 감염 IP와 수백 명의 피해자(수십 명의 윈도 사용자와 350명 이상의 맥 OS X 사용자)를 파악했다.

카스퍼스키랩은 공격 인프라를 제어하고 감시하기 위해 사용된 IP 목록을 바탕으로 이번 공격의 배후 중 일부는 적어도 중국, 대한민국, 일본에 그 근거지를 두고 있을 것으로 추정했다.