[아이뉴스24 김국배 기자] 국내 기업 등이 망분리 환경에서 사용하는 보안 USB를 감염시켜 내부정보를 유출하려는 사이버 공격 시도가 계속되고 있는 것으로 나타났다.
25일 안랩 시큐리티대응센터(ASEC)가 발간한 2분기 보고서에 따르면 일명 '틱(Tick)'이라 불리는 해킹 조직은 지난 2008년부터 최근까지 10년 넘게 국내 방위산업체, 국방·정치 관련 기관 등을 대상으로 공격을 수행해온 정황이 포착됐다.
특히 이 조직은 2014년부터 본격적으로 국내 주요 기업과 기관을 대상으로 공격에 나선 것으로 추정된다. 이후에도 2015년 5건, 2016년 1건, 2017년 2건의 공격이 발견됐다.
틱 그룹은 공격 대상의 보안 취약점을 미리 알아내 다양한 공격 기법과 도구를 보유하는 것으로 알려져 있다. 스피어피싱, 워터링홀뿐만 아니라 USB 내 EXE 파일을 변조시켜 악성코드를 감염시키는 등 여러 기법을 쓴다.
내부정보 유출을 목적으로 기업에서 사용하는 보안 USB를 감염시켜 이를 악성코드 전파 경로로 쓰는 점 등으로 미뤄볼 때 국내 IT환경과 인프라를 상당 부분 파악하고 있다는 분석이 나온다.
안랩 관계자는 "대부분의 주요 기업과 기관에서 망분리된 시스템을 사용하고 있기 때문에 자칫 보안 업데이트를 간과하거나 보안 규정을 소홀하기 쉽다"며 "틱 공격그룹은 이런 국내 IT환경의 실정을 노린 것"이라고 설명했다.
틱 그룹이 사용한 악성코드의 초기 버전은 2014년 이전에 만들어진 것으로 추정된다. 이후 EXE 파일을 변조시키는 등 변형이 등장했다.
또 악성코드에 감염된 시스템에서 키로거, ARP 스푸퍼, 포트 스캐너, 미미카츠 등 추가 설치 파일도 발견됐다.
안랩 관계자는 "기업 내 중요 시스템에서 USB 사용을 자제하고, USB 내 실행 파일을 실행하기 전 해시 등을 확인해 파일 전송 과정에서 악성코드 감염 여부 확인 등 주의가 필요하다"고 당부했다.
![Tickusb 전체 관계도 [자료=안랩]](https://img-lb.inews24.com/image_gisa/201906/1561443480642_1_151932.jpg)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기