상대적으로 사이버 공격에서 안전하다 여겨졌던 애플의 iOS 기기를 노리는 공격이 급증하면서 이용자들의 각별한 주의가 요구된다. 

카스퍼스키의 ‘2020년 1분기 APT 위협 활동 보고서’는 중국어를 사용하는 APT 그룹 ‘투세일 정크(TwoSail Junk)’가 홍콩 사용자를 대상으로 원격 iOS 익스플로잇 체인을 사용하는 워터링 홀 공격을 진행했음을 알렸다. 이는 2020년 1월에 처음 발견됐으며, 2월에는 윈도우, 리눅스, 맥OS로 공격 대상을 점차 확대했다. 이들은 iOS와 안드로이드 취약점을 이용한 ‘라이트스파이(LightSpy)’ 워터링 홀 공격을 모바일 플랫폼으로 확장하고 있다.

북한 배후의 공격그룹으로 알려진 라자루스는 맥OS를 대상으로 한 ‘애플제우스(AppleJeus)’ 캠페인을 벌이고 있으며, 영국, 폴란드, 러시아, 중국 등에서 피해가 발생했다. 특히, 암호화폐 관련 조직에서 피해가 발생하고 있는 것으로 보인다.

이탈리아 보안회사 텔시(Telsy)는 지난해 라자루스가 암호화폐 관련 악성코드를 배포한다 지적했으며, 카스퍼스키는 이 공격 캠페인을 추가 분석한 결과 마누스크립트(Manuscrypt) 변종을 발견했다. 해당 악성코드는 올해 초까지 키프로스, 미국, 대만, 홍콩의 암호화폐 관련 사업을 공격했다.

모바일 기기 공격도 위험 수위를 높이고 있다. 로밍 맨티스(Roaming Mantis)는 iOS와 안드로이드 사용자를 대상으로 공격하고 있으며, 27개 언어를 지원해 전 세계에서 활동하고 있다. 암호화폐 탈취 및 채굴 공격을 이어가고 있으며, 택배 위장 APK 배포를 통해 한국, 일본, 대반, 러시아 등을 집중 공격하고 있다.

코로나19 이슈를 악용한 공격이 APT 공격집단을 중심으로 광범위하게 퍼지고 있는데, 이들은 금전 수입을 목적으로 피싱 사이게 몰두하고 있다. WHO, 인도주의 단체로 위장해 공격을 펼치고 있으며, 때로 이 단체를 표적으로 공격하기도 한다.

특히 북한 기반 공격그룹 라자루스, 킴수키 등이 활발하게 활동하고 있으며, 아시아의 유명 휴양지 호텔 네트워크를 감염시켜 호텔에 숙박하는 정·재계 유명인사에 대한 스파이 활동을 벌여온 다크호텔 공격그룹도 지속적으로 활동을 이어가고 있다.

킴수키는 지난해 마이크로소프트로부터 소송을 당하기도 했는데, 킴수키가 마이크로소프트 위장 도메인 50여개를 공격에 사용했다는 이유로 미국 버지니아 법원에 고소했다. 그럼에도 불구하고 킴수키는 여전히 활발한 공격을 펼치고 있는데, 올해 초 유명 배우의 새해 인사를 주제로 한 미끼 이미지를 사용해 스파이 활동을 벌였다.

카스퍼스키는 최근 활동을 시작한 새로운 공격그룹 ‘빅셔스판다(ViciousPanda)’가 다크호텔과 연관됐을 가능성이 있다고 진단했다. 또한 중국 기반 공격 그룹 캑터스피티(CactusPete) 등 새로운 공격 그룹도 등장했음을 경고했다.

빈센트 디아즈 카스퍼스키 글로벌 위협 정보 분석 팀(GReAT)의 선임 보안 연구원은 “창의적인 방법을 무기로 새로운 조직이 부상하고 있고 기존의 유명 조직은 더욱 잡아내기 어려워진 가운데 모바일은 새로운 공격의 견인차 역할을 하고 있다. 이는 우리 모두가 겪고 있는 시대적 변화의 결과다. 알려진 위협은 물론 알려지지 않은 위협으로부터 기업과 사용자를 보호하는 것은 매우 중요한 일”이라고 강조했다.