[디지털데일리 김보민기자] 북한 사이버 공격자가 중국 배후 조직과 동일한 수준의 위협을 가하고 있다는 분석이 나왔다.

구글 위협인텔리전스 그룹은 2024년 한 해 동안 연구진이 조사한 제로데이(Zero-day) 공격에 대한 분석을 담은 '2024 제로데이 보고서'를 발표했다고 30일 밝혔다. 제로데이는 공격자가 개발자나 기업보다 먼저 소프트웨어와 시스템에 대한 취약점을 파악해, 이를 악용하는 상황을 뜻한다. 취약점에 대한 패치나 대응책이 없는 상태에서 공격이 이뤄진다는 특징이 있다.

보고서에 따르면 지난해 실제 공격에 이용된 제로데이 취약점은 75건으로 주로 엔드 유저(end-user) 플랫폼과 제품, 엔터프라이즈 기술 등 두 가지 영역에서 두드러졌다. 모바일 기기(디바이스), 운영체제, 브라우저, 애플리케이션은 물론 보안 및 네트워크 소프트웨어가 대상이었다.

특히 국가 지원을 받는 공격 조직과, 상업용 감시 소프트웨어 업체(CSV) 고객 중 사이버 스파이 활동을 수행한 공격자가 지난해 전체 취약점의 50% 이상을 차지한 것으로 나타났다. 대표적인 스파이 조직을 운영하는 중국 배후 그룹(PRC)의 경우, 5개의 제로데이 취약점을 악용했다.

북한 또한 두각을 드러냈다. 구글 위협인텔리전스 그룹은 "사상 처음으로 북한 공격자들이 중국 배후 그룹과 동일한 수준의 제로데이 공격(5건)을 수행한 것으로 파악했다"며 "이들은 스파이 활동과 금전적 목적의 작전을 병행한 것으로 나타났다"고 말했다.

북한 해킹 조직은 여러 조직과 공격 대상이 중복되거나, 서로 협력하고 전술과 도구를 공유하며 정보 수집을 목적으로 활동을 전개한 것으로 나타났다. 아울러 정권 자금 조달을 위해 스파이 활동을 이어간 것으로 확인됐다. 구글 위협인텔리전스 그룹은 "지난 한 해 동안 이들이 제로데이 공격에 집중한 사실은, 앞으로도 북한 배후 그룹의 제로데이 공격에 대한 관심과 악용이 늘어날 가능성을 시사한다"고 전망했다.

한편 지난해 제로데이 취약점은 2023년(98건) 대비 감소한 것으로 나타났다. 기업들이 제로데이 공격을 막기 위해 보안을 강화하면서, 표적 공격 등이 감소한 것으로 풀이된다. 다만 2022년(63건)보다는 높은 수준을 기록했다.

케이시 셰리어(Casey Charrier) 구글 위협인텔리전스 그룹 선임 애널리스트는 "제로데이 공격은 천천히, 하지만 꾸준하게 증가하고 있다"며 "그럼에도 불구하고 제로데이 공격을 막기 위한 기업들의 노력이 성과를 거두기 시작했고, 공격 받던 제품에 대한 제로데이 공격 사례가 감소하는 것을 확인할 수 있었다"고 말했다.

이어 "제로데이 공격은 이제 엔터프라이즈 제품을 겨냥하는 방향으로 진화하고 있기 때문에 더욱 다양하고 광범위한 업체들이 선제적인 보안 조치를 강화해야 한다"며 "제로데이 공격의 결과는 궁극적으로 공격자의 목표와 추구에 대응하는 기업의 의사결정과 역량에 의해 좌우될 것"이라고 강조했다.