이란 연계 해킹 확산…중동서 K-보안 주목
이란 정보안보부 연계 '머디워터' 활동 지속
지니언스·안랩, UAE·사우디 진출 확대
(서울=연합뉴스) 오지은 기자 = 글로벌 화약고인 중동 지역에서 사이버 공격이 급증하면서 한국 기업이 전략적으로 중동 지역에 진출하는 사례가 늘고 있다.
2일 사이버 보안 기업 지니언스[263860] 블로그에 따르면 이란 정보안보부(MOIS)와 연계된 조직으로 알려진 '머디워터'가 이라크, 요르단, 이스라엘 등 중동 국가들을 공격하는 사례가 빈번하게 발생하고 있다.
머디워터는 주로 스피어피싱 메일을 사용해 마이크로소프트 워드나 액셀 문서에 악성 VBA(프로그래밍 언어) 매크로를 포함해 전달하는 초기 침투 방식이 2017년부터 사용되고 있다.
이들 문서는 정상 문서나 공식 안내문으로 위장해 이용자에게 콘텐츠 활성화나 매크로 실행을 유도한 뒤 악성코드를 설치하도록 한다.
침투 이후에는 서버와 통신해 원격 명령을 수행하며 원격 관리 도구(RMM)를 악용해 보안 탐지를 회피해 내부 시스템을 장악한다.
먼저 2019년 이라크 통신 인프라를 겨냥한 표적 공격을 보면 머디워터는 업무 관련 문서로 위장한 워드 파일로 내부 사용자 환경에 침투한 뒤 내부망을 장악하고 정보를 수집하려고 했다.
또 머디워터는 요르단 소재 대학 구성원을 대상으로도 스피어피싱 공격을 했다.
요르단 공격에서는 요르단 정부 기관인 요르단 민사 등록 및 여권국을 사칭해 이메일을 발송했고, 이메일 본문에는 학생들의 이주 관련 정보를 확인해야 한다는 내용이 포함돼 있었다.
이후 2022년부터는 공격 기법이 변화해 악성 HTML과 드롭박스 URL 링크 삽입 방식이 사용됐는데 메일 수신자가 마이크로소프트 원드라이브에서 악성 ZIP 파일을 다운받도록 유도했다.
이러한 공격 방식은 이집트 IT 기업, 이스라엘 보험사 등을 대상으로 사용됐다.
이렇듯 중동 전역을 대상으로 한 해킹 공격이 빈발하면서 한국 기업의 중동 진출도 잇따르고 있다.
중동 지역의 경우 다수의 국가 배후 사이버 위협 활동이 집중적으로 관측되기 때문에 외교적으로 이해관계가 얽힌 국가의 보안 기술을 사용하는 것에 신중할 수밖에 없다.
보안 업계에 따르면 중동 국가들은 타국에 의한 정보 탈취를 막기 위해 서비스형 소프트웨어(SaaS·클라우드 기반의 소프트웨어 제공 모델)만큼이나 온프레미스(on-premises·사내구축형)를 선호하는데 한국의 보안 기업이 이러한 틈새시장을 노린 것이다.
먼저 지니언스는 글로벌 고객 수 기준으로 중동 국가가 가장 큰 비중을 차지하고 있으며 중동 시장 공량을 위해 2024년 아랍에미리트(UAE) 두바이에 현지 사무소를 개설하기도 했다.
지니언스는 해외사업팀을 해외사업본부로 확대하고 중동, 유럽, 아프리카를 전담하는 체계를 구축하기도 했다.
안랩[053800]도 중동 진출을 적극적으로 추진 중인 보안 기업이다.
안랩은 사우디아라비아 보안 기업 SITE와의 합작법인 라킨에서 지난해 하반기 주요 제품을 출시하며 현지 시장을 공략하고 있다.
앱 보안업체인 스패로우도 중동 보안 서비스 기업 라스인포텍과 보안 설루션 공급 업무협약(MOU)을 체결하며 중동 시작 진출에 박차를 가하고 있다.
보안업계 관계자는 "중동 보안 환경은 국내 시장과 유사한 측면이 있다"라며 "현지 환경에 적합한 관리형 사이버보안 시스템 개발 등 맞춤형 전략을 추진 중이다"라고 설명했다.
built@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>