✅ 보고서 제목: 이란 배후 APT 그룹 동향 분석 보고서: 분쟁의 시대, 국가를 배후에 둔 사이버 위협
✅ 보고서 요약:
- 최근 미국과 이스라엘은 이란의 군사 거점을 공격 하는 합동 군사 작전을 진행하였으며, 이로 인해 군사적 긴장이 고조되면서 사이버 공간에서도 국가 간 충돌이 확산되는 양상이 나타나고 있습니다.
- 본 보고서에서는 2024년부터 2026년 3월까지 활동한 이란 배후 APT 그룹의 공격 캠페인 분석을 진행했습니다.
📌 이란 핵심 국가 기관의 구성
- 이란은 크게 두 개의 핵심 국가 기관인 이슬람혁명수비대(IRGC)와 정보보안부(MOIS)로 구성되어 있습니다.
- IRGC(Islamic Revolutionary Guard Corps)는 최고지도자의 직접적인 통제 하에 있는 군사 조직입니다.
- MOIS(Ministry of Intelligence and Security)는 이란 정부 산하의 정보기관으로, 장기적인 침투 및 정보 수집 활동에 특화된 사이버 작전을 수행합니다.
📌 위협 상세 정보
- 2024년부터 2026년까지 활동한 것으로 알려진 이란 배후의 APT 그룹은 총 10개로 APT42, APT34, MuddyWater, CyberAv3ngers, BladedFeline, Peach Sandstorm, Storm-2035, Void Manticore, APT35, Pioneer Kitten으로 식별되었습니다.
- 본 보고서에서 분석된 10개의 이란 배후 APT 그룹의 산업군별 타겟 현황을 종합하면, Government와 Energy/Oil & Gas가 가장 광범위하게 타겟되는 산업군으로 나타납니다.
- 특히 Government는 APT34와 CybverAv3ngers를 제외한 대다수의 그룹이 핵심 또는 반복적인 타겟으로 설정하고 있어, 이란 배후 위협 활동 전반에서 가장 보편적으로 타겟되는 산업군으로 볼 수 있습니다.
- 또한 Energy/Oil & Gas는 APT34, MuddyWater, CyberAv3ngers, Peach Sandstorm 그룹이 집중적으로 공격하고 있는 것으로 확인되며, 이는 이란이 국가 차원의 전략 자산과 연결되는 에너지 부문을 지속적으로 우선순위에 두고 있음을 시사합니다.
📌 주요 공격 동향
- 2024년부터 2026년까지 활동이 식별된 10개 이란 배후의 APT 그룹의 공격 캠페인을 종합 분석한 결과, 다음과 같은 주요 동향이 식별되었습니다.
- 공격 목표 및 범위의 확장: 이란의 사이버 작전은 중동 지역의 정부, 에너지, 국방 분야를 넘어 고위급 인사, 선거 캠프 관계자, 중요 인프라(수자원, 금융) 및 글로벌 IT 서비스 공급망까지 광범위하게 확대되고 있으며, 물리적 파괴 및 사회적 혼란을 유도하는 보복적 공격의 경향이 강화되고 있습니다.
- 공격 수단의 고도화 및 다양화: Rust, Go, C++ 등으로 자체 개발한 커스텀 백도어(NICECURL, TAMECAT, MuddyViper 등)의 사용이 증가하고 있으며, 파일리스/메모리 기반 실행과 DLL 사이드로딩, 스테가노그래피 등 정교한 회피 기법을 적극적으로 활용하여 보안 탐지 난이도를 높이고 있습니다.
- 정상 도구 및 클라우드 환경 악용: SimpleHelp, Atera, ngrok, AnyDesk 등 합법적인 원격 모니터링 및 관리(RMM) 도구와 Telegram, Discord, Google Sites, Cloudflare Workers 등 클라우드 서비스를 C2 통신 및 악성코드 유포 채널로 악용하여 정상 트래픽으로 위장하고 공격의 Attribution을 모호하게 합니다.
- 사회공학 및 MFA 우회 기술: APT42는 언론인 및 동료 직원 사칭, 타이포스쿼팅 도메인을 활용하여 신뢰를 확보한 후, 가짜 MFA 프롬프트 및 앱 비밀번호 악용 등 실시간 2FA 릴레이 공격을 통해 다중 인증을 우회하고 클라우드 자격 증명을 탈취합니다.
📌 대한민국에 대한 시사점
- 이란 배후 APT 그룹의 공격 대상은 미국과 이스라엘, 중동에 집중되어 있으나, 한국은 미국의 동맹국으로서 사이버 보복의 간접적인 표적이 될 가능성이 있습니다.
- 특히 Peach Sandstorm이 2016년부터 한국 소재의 정유 및 석유화학 기업을 타겟한 이력이 확인된 만큼, 현재의 전시 상황에서 국내 에너지 및 방위산업 분야에 대한 경계가 필요합니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
📌 민간 기업 보안 담당자
- 인증 및 계정 접근 통제: 하드웨어 기반 MFA 또는 FIDO/WebAuthn 표준을 도입하여 MFA 피싱 및 세션 탈취 기반 우회 공격을 최소화하고, 클라우드 환경 접속 권한에 대한 정기적인 감사와 MFA가 적용되지 않은 앱 비밀번호와 같은 대체 인증 수단의 사용을 최소화해야 합니다.
- SW 및 서비스 사용 제한: Ngrok, Anydesk, TeamViewer, Ligolo 등 정상 원격관리(RMM) 및 터널링 도구의 악용 가능성을 차단하기 위해, 필수 사용자에 한하여 화이트리스트 기반 통제 정책을 적용합니다.
- 보안 인식 및 훈련: 정교하게 위장된 사회공학적 스피어피싱, MFA Fatigue, OAuth 인증 피싱 사례를 포함한 맞춤형 보안 교육 및 모의 훈련을 정기적으로 실시하여, 임직원의 보안에 대한 경각심을 향상해야 합니다.
📌 공공 기관 담당자
- 위협 인텔리전스 공유 및 경보 연계: 이란 배후 APT 그룹이 사용하는 TTPs를 국가 사이버 위험 경보 체계 및 위협 인텔리전스 공유 플랫폼(C-TAS 등)에 반영하여 유관 기관 간 선제적 공유를 권고합니다.
- 중동 접점 기관 노출 자산 점검: 에너지, 방산, 금융 등 중동 지역과 경제적 또는 외교적 접점이 있는 공공기관 및 산하 기관은 이란 배후 그룹의 간접적인 표적이 될 가능성을 고려하여 해당 분야 네트워크에 대한 인터넷 노출 자산 현황을 주기적으로 점검하고, 본 보고서의 CVE 목록에 대한 패치 적용 여부를 확인해야 합니다.
- 대응 절차 수립: 이란 APT 그룹은 공격 과정에서 Wiper 유형의 악성코드를 사용한 파괴적 성향의 공격으로 전환하는 패턴이 확인되므로, 유사한 공격 시나리오에 대한 대응절차(데이터 백업, 네트워크 격리 절차, 데이터 복구 계획)를 점검 및 수립합니다.
- 산업 제어 시스템 보안 강화: PLC, SCADA 등을 포함한 중요 산업 제어 시스템(ICS/OT)에 대해 외부 인터넷과의 직접적인 접점을 최소화하고, OT 네트워크와 IT 네트워크 간의 엄격한 망 분리 정책을 적용합니다. 또한, ICS 환경에 특화된 비정상 행위 및 프로토콜 통제 솔루션을 도입하고, 원격 유지보수 접속 시 VPN 및 다중 인증(MFA)을 적용하며 OT 환경에서 승인되지 않은 원격 접속 도구의 사용을 제한합니다.
🧑💻 보고서 작성자: S2W TALON
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며, S2W의 플랫폼 구독 시 전문으로 제공됩니다.