팔로알토네트웍스는 자사 위협 인텔리전스 조직 '유닛42' 위협 브리핑을 통해 이란 관련 군사 충돌 이후 최대 60여 개 핵티비스트 그룹이 활동하는 등 사이버 공격 움직임이 확대되고 있다고 4일 밝혔다.
유닛42는 최근 친이란 성향 핵티비스트와 사이버 조직의 활동이 활발해지고 있다고 설명했다. 핵티비스트는 정치적·사회적 메시지를 전달하거나 특정 이념을 지지하기 위해 사이버 공격을 수행하는 개인이나 집단을 의미한다.
이들 그룹은 피싱과 소셜 엔지니어링 공격을 확대하고 있으며, 정상 애플리케이션을 위장한 악성 안드로이드 애플리케이션(APK)을 이용해 모바일 감시와 정보 탈취 악성코드를 유포하려는 시도도 포착됐다.
다만 이란 내부에서 활동하는 국가 지원 해킹 조직의 정교한 사이버 공격은 당분간 제한될 가능성이 제기된다. 유닛42는 지난 2월 28일 이후 이란의 인터넷 연결 수준이 평소 대비 약 1~4% 수준으로 급격히 감소했다고 설명했다. 인터넷 장애와 지휘 체계 혼란이 겹치면서 이란 내 조직이 대규모 공격을 조직적으로 수행하기는 어려울 수 있다는 분석이다.
반면 이란 외부에서 활동하는 친이란 핵티비스트나 사이버 조직은 공격을 확대할 가능성이 있는 것으로 전망된다. 특히 국가의 정부 기관이나 주요 인프라를 겨냥해 분산서비스거부(DDoS) 공격이나 해킹 후 정보 유출(Hack-and-Leak) 방식의 교란 시도가 이어질 수 있다는 관측이다.
유닛42는 이번 상황에 대비해 기본적인 보안 대응을 강화해야 한다고 강조했다. 특히 인터넷에 노출된 시스템의 보안 패치 적용과 VPN·웹사이트 등 외부 접속 인프라에 대한 모니터링을 강화하고, 중요 데이터는 오프라인 백업을 유지할 것을 권고했다. 또한 피싱과 소셜 엔지니어링 공격에 대비해 임직원 교육을 강화하고 의심스러운 접근 시도를 지속적으로 점검할 필요가 있다고 밝혔다.
박진형 기자 jin@etnews.com
