중국에 기반을 둔 해킹 그룹이 한국을 비롯한 아시아 지역 정부기관·통신사·금융사 등을 표적으로 해킹 범죄를 저지르는 사례가 다수 발견되고 있다는 조사 결과가 나왔다. 주로 기업 소프트웨어의 보안 허점을 뚫어 악성 코드를 심는 ‘취약점’ 공격 방식이었다.

구글 클라우드 맨디언트는 27일 전 세계 사이버 공격 트렌드를 분석한 '맨디언트 M-트렌드 2025’ 보고서를 발표했다. 보고서에 따르면 지난해 한국 등 아시아·태평양 지역에서 가장 많이 발생한 사이버 공격의 초기 감염 경로는 보안이 약한 프로그램의 틈을 파고든 ‘취약점 공격’(64%) 방식이었다. 이 비율은 전체 글로벌 기준 대비 두 배 가까이 높은 수준이었다. 특히 아직 취약점을 발견하지 못해 패치조차 나오기 전의 보안 허점을 노린 ‘제로데이’ 공격이 빈번했다.

지난해 아시아 지역에서 가장 자주 관찰된 해킹 그룹은 중국 정부 지원을 받고 있는 것으로 추정되는 UNC3886, UNC5221 그룹이었다. 심영섭 구글 클라우드 맨디언트 컨설팅 한국 및 일본 지역 총괄은 “이들은 제로데이 취약점을 악용해 주로 기간산업·통신·방위산업 등 핵심 인프라에 대한 공격을 감행한다”고 설명했다.

최근 해킹 사고가 발생한 SK텔레콤 서버에서 발견된 ‘BPF도어(Berkeley Packet Filter Door)’ 계열 악성코드도 중국 해킹 집단의 주요 공격 수단 중 하나다. BPF도어는 해커가 서버 데이터를 탈취하기 위해 정상적 인증이나 네트워크 감시 체계를 피해 외부에서 몰래 접근할 수 있게 설치하는 백도어(Backdoor·뒷문) 악성코드다. 은닉성이 높고, 장기간 평범한 파일로 시스템에 잠복해 있다 해커가 보내는 특정 신호에만 활성화돼 탐지가 매우 어려운 것으로 알려져 있다.

구글 클라우드는 SKT 해킹 사고에 대한 직접적인 언급은 피했지만, 해킹 그룹이 통신사를 노리는 경우는 주로 국가 스파이 활동 관련일 가능성이 크다고 진단했다. 심영섭 총괄은 “일반적으로 통신사를 해킹하는 경우 개인정보 보다는 주요 인사 통신 감청 등 스파이 활동에 초점을 맞추는 경향이 있다”며 “국가 차원의 대응 지원이 필요한 지점”이라고 강조했다. 


 
지난해 미국에서도 버라이즌·AT&T·T모바일 등 주요 통신사가 해킹 공격을 받았다. 이 공격으로 도널드 트럼프 대통령과 대선 후보 캠프 관계자들의 통화와 문자 메시지가 탈취된 것으로 조사됐다. 공격 배후로는 중국 정부와 연계된 해커 그룹 ‘솔트 타이푼’이 지목됐다.

한편 아시아 지역 기업들 중 회사 내부 보안팀이 해킹을 먼저 인지하고 대응한 사례는 10건 중 3건(31%)으로 전체 글로벌 평균(43%)보다 낮은 편이었다. 해킹이 발생한 후 이를 인지하기까지는 평균 6일 이상 소요됐다. 심 총괄은 “미국·유럽에 비해 아시아의 보안 컴플라이언스(준법 기준)는 상대적으로 덜 까다로운 편”이라며 “보안 인력과 인프라에 대한 투자가 더 필요하다”고 말했다.

구글 클라우드는 해킹 공격 사실이 알려지면 타 해킹 그룹의 추가 공격이 이어질 수 있어 빠른 대응이 필요하다고 강조했다. 심 총괄은 “해킹 공격을 인지한 이후에도 기업들이 자사 장비 버전이 뭔지 모르거나 전문 보안 인력이 부족해 바로 보안 패치나 업그레이드를 못한 상태에서 추가 공격을 받는 경우도 있다”며 “해킹 집단을 추적하는 것보다 더 중요한 건 침투 이후부터 피해 발생 전까지 빠르게 사고에 대응할 수 있는 솔루션을 갖추는 것”이라고 밝혔다.