사이버 보안 세계의 두 가지 주요 위협은 국가 지원 APT 공격 조직과 사이버 범죄 조직이며 이들이 세계 곳곳에 침투하는 인프라는 곧 다크웹에 있다. APT 조직과 사이버 범죄 조직은 각각의 목표, 인력 등 측면에서 최근 몇 년 간 어느정도의 중복과 일치성을 보이고 있다.

APT 조직은 오래전부터 다크웹에서 일반적으로 판매되는 도구를 사용해왔다. 특히 포이즌 아이비(Poison Ivy) 및 기타 원격 액세스 트로이 목마(RAT)가 많은 APT 공격 사건에 나타났다. 이러한 현상은 너무나 일반적이기 때문에 많은 사람들은 “APT”라는 용어 자체에 의문을 제기한다. RAT가 “고급”으로 간주되지 않기 때문이다.(사실 APT에서 “고급”은 해커조직인 Facility, 즉 국가 자체를 의미한다.) APT 공격은 주로 데이터 유출을 목표로 하는 경우가 많다. 수년 간 APT 조직은 이 목표를 달성하기 위해 다크웹에서 다양한 사이버 범죄 도구를 사용해왔다.

한 편 사이버 범죄 조직 또한 APT에서 일불 전술을 차용했다. 범죄자들은 금융기관이 전체 보안망에서 가장 약한 고리로 간주되기 때문에 금융 기관의 고객을 표적으로 삼는 경우가 많다. 이들은 은행의 보안 네트워크를 전혀 뚫으려 하지 않고 피싱 공격을 사용하여 피해자를 공격한다. 사이버 범죄 조직이 전자 상거래 웹사이트와 같은 시스템을 해킹하고 다양한 자격 증명을 탈취하기 때문에 다른 기업 역시 이 같은 범죄의 피해자가 된다. 그러나 은행 시스템을 뚫는 것은 달성할 수 없는 목표로 간주되며 그렇기 때문에 대부분의 사이버 범죄 조직은 이를 시도하지 않는다.

일부 사이버 범죄 조직은 스피어 피싱을 사용하여 멀웨어에 감염된 첨부파일을 보내고 악성 첨부파일을 통해 은행 IT 시스템에 액세스하는 전술을 선택한다. 보아넙체 Group-IB는 코발트라는 사이버 범죄 조직이 은행 시스템 권한을 사용해 원격으로 악성 소프트웨어를 ATM 기기에 심어 은행 ATM 기기가 자동으로 돈을 분배하는 이른바 잭팟 공격을 수행했다고 공개했다.

이어진 사건으로 APT의 표적은 점차 사이버 범죄 조직이 되기 시작했다. 과거 APT 조직의 주목적이 데이터 유출이었다면 지식 재산과 첩보를 탈취하기 위해 최근 일부 APT 조직이 재정적 동기로 대기업을 공격하기도 했다. 이와 관련하여 가장 악명높은 APT 조직은 북한과 연계된 것으로 알려진 라자루스다. 라자루스는 소니 픽처스 데이터 유출 사건 및 한국에 대한 여러 DDoS 공격을 수행한 조직으로, 특히 이 조직이 2016년 방글라데시 중앙은행 사이버 공격과 관련있다는 점은 유의미하게 보여진다.

[출처 : 中보안매체 / 1.3.]