SK인포섹, 미쓰비시전기 해킹조직 '틱' 추적 정보 공개

도메인, 악성코드 등 활용 공격 시도…EQST "미리 대비해야"

SK인포섹의 보안전문가그룹 EQST(이큐스트)가 일본 미쓰비시전기를 해킹한 것으로 알려진 중국계 해커 집단 '틱'(Tick) 해킹조직 관련 IOC(침해사고지표)를 22일 공개했다고 밝혔다.

EQST그룹이 이번에 공개한 IOC에는 틱 해킹조직이 최근 6개월간 공격에 활용한 도메인 5개, 악성코드 해시정보 138개, 보안취약점 2개 등이 포함돼 있다.

IOC는 해킹사고에 나타나는 침해 흔적을 말한다. 해커가 악성코드를 유포하거나 경유하기 위해 활용하는 도메인을 비롯해, 악성코드 해시, 공통보안취약점공개항목(CVE, Common Vulnerabilities and Exposures) 등에 대한 정보가 담겨 있다.

일본 아사히신문 등 외신에 따르면 미쓰비시전기는 이번 해킹사고로 국내외 지사에 있는 120대 이상의 컴퓨터와 40대 이상의 서버가 해킹되는 등 전사적 규모의 피해를 입었다. 회사 측은 방위 관련 기밀 정보를 주로 노리는 '틱'이 이번 사건과 관련됐을 가능성이 높다고 보고 조사 중이다.

EQST그룹은 공격 흔적을 통해 '틱' 해킹조직을 추적했다. 추적에는 글로벌 사이버위협연합(CTA)과 공유한 해킹 정보, 시큐디움 인텔리전스 데이터베이스에 축적된 정보가 활용됐으며, 침해사고대응팀도 포렌식 분석에 나섰다.

틱 해킹조직은 지난 2013년 플래시 제로데이 취약점 공격을 시작으로 한국과 일본의 공공기관과 민간기업들을 주로 공격한 것으로 알려졌다. 이들은 소프트웨어 제품의 취약점을 이용하거나, 보안 시스템을 우회하는 등 다양한 공격 기법을 활용한다.

김성동 SK인포섹 침해사고대응팀장은 "그동안 틱 해킹그룹이 국내 공공기관, 방위산업체, 제조기업, IT기업 을 대상으로 공격을 시도한 바 있다"며 "이번 미쓰비시전기 해킹 사건을 계기로 다시 한번 경각심을 갖고 해킹 공격에 대비해야 할 것"이라고 말했다.


기업들은 이번에 공개한 IOC 정보를 참고해 보안시스템 정책 설정에 활용하면 추가적인 해킹 사고에 대비할 수 있다. SK인포섹이 공개한 IOC는 회사 공식 홈페이지에서 확인할 수 있다.