'틱' 외에 '블랙테크', '오로라판다', '엠디비' 등 3곳 언급
[서울=뉴스핌] 김은빈 기자 = 일본의 미쓰비시(三菱)전기가 최소 4곳 이상의 중국계 해킹그룹으로부터 공격을 받은 것으로 보인다고 22일 아사히신문이 전했다.
앞서 미쓰비시전기는 지난 20일 저녁 대규모 사이버 해킹 공격을 받아 채용 응모자·종업원·퇴직자 등 최대 8122명 분의 개인정보와 거래처 기밀이 유출됐을 가능성이 있다고 발표했다. 부정 접속은 지난해 6월 28일에 이뤄졌으며, 중국계 해킹그룹 'Tick(틱)'이 관여됐을 가능성이 높다고 알려졌다.
하지만 신문은 복수의 관계자를 인용해 지난 10년 간 미쓰비시를 공격한 중국계 해킹그룹이 틱을 포함해 최소 4곳 이상 있다고 전했다. 새롭게 언급되는 그룹은 BlackTech(블랙테크), AuroraPanda(오로라판다), Emdivi(엠디비) 등 3곳이다.
[도쿄 로이터=뉴스핌] 오영상 전문기자 = 미쓰비시전기의 로고. 2020.01.20 goldendog@newspim.com |
이 가운데 블랙테크는 주로 대만이나 일본의 제조기업을 표적으로 삼는 집단이다. 보안회사인 트렌드마이크로에 따르면, 블랙테크는 기밀정보를 훔쳐 스파이활동을 한다. 다만 비교적 새롭게 만들어졌기 때문에 정보가 적어 실태는 불분명하다.
미쓰비시전기 관계자에 따르면 블랙테크의 공격을 처음으로 발견한 건 2017년 후반이다. 중국에 있는 미쓰비시전기 관련회사를 경유해 일본 내 시스템을 침입했던 흔적이 발견됐다. 그 뒤 한동안 블랙테크의 부정접속은 확인되지 않았지만 지난해 일본 본사와 거점에서 흔적이 발견됐다.
발견하게 된 계기는 지난해 6월 28일의 부정접속이었다. 이 일을 계기로 미쓰비시전기는 사내조사에 착수했고, 사내 PC에 깔려있던 트렌드마이크로사의 바이러스 대응 소프트웨어 '바이러스 버스터'의 관리서버 결함이 해킹그룹에게 악용됐음을 확인했다. 해킹그룹이 결함을 발판삼아 미쓰비시전기 본사 등에 접속했던 것이다.
트렌드마이크로사에 따르면 해당 결함은 이미 지난해 10월 공표돼 수정됐다. 결함을 악용했던 서버 공격을 2건 확인했다고 밝혔지만 여기에 미쓰비시전기가 해당되는지 여부에 대해선 "개별기업이나 단체에 관한 정보는 당사에서 답변할 수 없다"고 했다.
당초 미쓰비시전기 사내 조사에선 방위관련 기밀정보를 주로 노리는 틱의 관여 의혹이 부상했었다. 틱 역시 중국에 있는 관련회사를 침입 발판으로 삼기 때문에 수법 등에서 블랙테크와 닮아있다. 신문은 "미쓰비시 측은 해당 시기에 복수의 해킹 그룹에게 공격을 받은 것으로 보인다"고 전했다.
이 외에도 해킹 공격에 가담했던 것으로 알려진 오로라판다는 2013년 경 미쓰비시전기를 공격한 것으로 보인다. 해당 그룹은 관공서나 IT기업을 주로 노리는 것으로 알려져있다.
또 다른 가담그룹은 엠디비로 알려진 바이러스를 사용하는 곳이다. 지난 2015년 6월 일본연금기구 가입자 약 125만명의 개인정보가 유출됐던 사건이 일어났었는데 이때 사용된 바이러스가 엠디비였다. 미쓰비시전기 사내 조사에 따르면 같은 시기 해당 바이러스가 미쓰비시전기에서도 사용됐다. 다만 어떤 해킹그룹이 엠디비를 사용하고 있는지는 아직 특정되지 않았다.
미쓰비시전기는 군과 민간 양쪽에서 활용되는 기술 노하우를 갖고 있다. 한 일본의 보안 전문가는 "복수의 해킹그룹으로부터 공격을 받는 것은 어떤 의미에서 필연적"이라며 "앞으로도 계속 노려질 것이라는 의식이 필요하다"고 지적했다.
이 전문가는 "해킹그룹이 연관된 국가의 정책·관심사는 표적과 연동되는 경향이 있다"며 "우선은 해커의 성질을 파악하고 대책을 세우는 일이 중요하다"고 말했다.
kebjun@newspim.com