베트남 해커 조직, 코로나19 정보 빼내려 중국 정부 공격

베트남 해커 조직이 신종 코로나바이러스 감염증(코로나19) 관련 정보를 빼내기 위해 중국 정부를 대상으로 해킹 공격을 수행했다는 분석이 제기됐다.

미국 사이버보안 업체 파이어아이는 베트남 정부와 협력하는 해커 조직 'APT 32'가 올해 1월부터 지난 4일까지 중국 우한시와 비상관리부를 표적으로 사이버 공격을 행한 것으로 의심된다고 23일 밝혔다.

공격자는 코로나19가 처음 발견된 우한시와 비상관리부로 스피어 피싱 메시지를 보낸 것으로 파악됐다.
 
파이어아이 측은 "위기 상황에 대한 해결책과 비공개 정보를 얻기 위한 국가적 차원의 활동으로 분석된다"고 전했다.

 

파이어아이에 따르면 이 조직은 2013년부터 활동하며 베트남에 진출해 사업을 하거나 투자 예정인 외국계 기업을 공격해왔다. 스피어 피싱 이메일을 통해 악성 첨부 파일을 전달하는 수법을 주로 써왔다.

이번 공격에서도 피싱 이메일이 발견됐다. 지난 1월 6일 중국 비상관리부에 '트래킹 링크'가 포함된 이메일을 전송한 정황이 처음 포착됐다. 해당 메일의 발신 주소는 ‘lijianxiang1870@163.com’, 제목은 '사무 기기 입찰 1분기 실적 보고(第一期办公设备招标结果报告)'이었다.

이메일에 심은 트래킹 링크에는 수신자가 이메일을 열람했을 때 공격자에게 알림이 갈 수 있는 코드가 포함돼 있었다.

또한 중국어 제목으로 코로나19를 주제로 한 악성 첨부 파일을 보내기도 했다. 미끼 문서 제목은 ‘COVID-19 실시간 업데이트: 중국은 현재 후베이성에서 오는 모든 여행자를 추적하고 있다'로 뉴욕타임즈 게재 기사를 보여준다.

존 헐트퀴스트 파이어아이 맨디언트 위협 인텔리전스 수석분석가는 "이번 (코로나) 위기가 끝날 때까지 관련 사이버 첩보 활동이 전 세계적으로 계속 심화될 것"이라고 예상했다.

한편, 베트남 보건부는 지난 16일부터 일주일 연속 코로나19 신규 확진자가 나오지 않았고, 누적 확진자 268명 가운데 223명이 완치됐다고 이날 밝혔다.