북한 해킹조직, 군사·핵무기 개발 위해 글로벌 해킹... 한·미·영, 사이버 보안 권고문 발표

미국 FBI·NSA·CISA 등과 한국 국정원·경찰청 그리고 영국 NCSC, 사이버 보안 권고문 공동 발표

[보안뉴스 김경애 기자] 평양과 신의주에 소재하는 북한 해커조직의 해킹활동이 포착됐다. 이들은 조선민주주의인민공화국 정찰총국 3국(이하 RGB)과 연계돼 있으며, 북한 정권의 군사, 핵무기 개발을 위해 글로벌 해킹 활동을 펼쳐왔다. 이에 따라 기업과 기관, 개인은 정보탈취, 개인정보 유출, 금융 탈취 등 피해를 입지 않도록 각별한 주의가 요구된다.

[이미지=경찰청]

이번 글로벌 해킹 활동과 관련해 △미국연방수사국(FBI) △미국 사이버사령부(CNMF) △미국 사이버인프라보안청(CISA) △미국 국방사이버범죄센터(DC3) △미국 국가안보국(NSA) △대한민국 국가정보원(NIS) △대한민국 경찰청(NPA) △영국 국가사이버안보센터(NCSC)는 사이버보안 권고문을 공동 발표했다.

기술 세부사항(TECHNICAL DETAILS)
정찰총국 산하 안다리엘
안다리엘(Onyx Sleet, 舊 PLUTONIUM, DarkSeoul, Silent Chollima, Stonefly/Clasiopa 등으로 알려져 있음)은 평양과 신의주에 기반을 두고 있는 북한 정찰총국 3국 산하 국가배후 해킹조직이다. 이 조직은 미국과 한국을 겨냥한 파괴적 공격에서 전문화된 사이버 첩보활동과 랜섬웨어 활동으로 진화했다.

사이버 첩보활동(Cyber Espionage)
현재 첩보활동은 방산·항공우주·핵·공학 단체들의 주요 군사정보와 지적 재산을 목표로 하고 있다. 이 외에도 의료 및 에너지 산업도 포함되어 있다. 공격 대상은 국방 및 민간 애플리케이션의 계약 사양, 자재 명세서, 프로젝트 정보, 설계 도면, 엔지니어링 문서 등이다. 이 조직의 주요 임무 중 하나가 북한의 핵과 국방력 강화에 대한 수집 요건을 충족시키는 것이다.

랜섬웨어(Ransomware)
안다리엘 해킹조직은 미국 의료 기관에 랜섬웨어 공격을 통해 첩보활동 자금을 지원한다. 경우에 따라 공격자는 같은 날 랜섬웨어 공격을 시작하고 사이버 첩보활동을 수행하거나 동일 분야에 대한 랜섬웨어 및 사이버 첩보활동을 했다.

정찰 및 열거(Reconnaissance and Enumeration)
공격 배후들은 공개 웹 서버의 취약점을 찾는 공개된 스캐닝 도구를 구입해 취약 시스템 정보를 추출한다. 공격자는 대상자 정보 수집 및 NIST 국가 취약점 데이터베이스에 등록되는 CVE 취약점을 연구하기 위해 오픈소스 정보를 수집한다.

자원 개발(Resource Development), 도구 및 원격 접근 도구
공격자는 커스텀된 도구와 악성코드를 사용해 탐색(Discovery) 및 실행(Execution)한다. 지난 15년 동안 해킹조직은 원격 접근 허용, 시스템 조작, 내부 확산(Lateral Movement)을 위해 RAT 도구를 개발해 왔다.

이러한 도구는 임의 명령 실행, 키로깅, 화면캡쳐, 파일·디렉터리 정보, 브라우저 기록, 프로세스 스누핑, 파일 생성·쓰기, 네트워크 연결 캡쳐, 명령 및 제어(C2) 서버 통한 컨텐츠 업로드 등의 기능이 있다. 이 도구는 공격자가 각 임플란트(C2 통신 기능)를 통해 피해자 시스템에 접근을 유지 할 수 있게 한다.

공개 악성코드(Commodity Malware)
공개 악성코드는 구매 또는 널리 사용되는 악성 소프트웨어이며, 여러 해킹조직이 사용한다. 이러한 악성코드의 사용은 공격자가 자신의 신원을 숨기고 공격 배후 규명을 어렵게 만들 수 있다. 작성 기관들은 공격자에게 공개 악성코드를 귀속시키기 위해 C&C 서버 및 수정된 악성코드·로더 등을 활용하고 있다. 공격자는 때때로 오픈소스 악성코드를 사용해 큰 성공을 했다. 작성 기관에서는 오픈소스 도구를 공격자가 사용하는 것을 식별했다.

초기 접근(Initial Access)
공격자는 초기 접근 획득을 위해 Apache의 Log4j 소프트웨어의 CVE-2021-44228(‘Log4Shell’) 알려진 취약점과 CVEs 목록을 통해 광범위한 웹 서버를 공격해 웹쉘을 유포한다. 그런 다음 중요 정보 및 응용 프로그램에 액세스해 추가 공격한다.

공격자는 공개 디바이스의 웹 서버 취약점을 공격해 지속적으로 기관을 침범하며, 다수의 기관 대상으로 동시에 광범위한 활동을 수행한다.

실행(Execution)
공격자는 시스템 기본 도구와 프로세스를 사용하는 LOTL(Living Off The Land) 기법에 능통하다. 그들은 윈도우즈 명령어, 파워쉘, WMIC(Windows Management Instrumentation Command-Line)를 사용하고, 리눅스는 시스템, 네트워크, 계정 수집을 위해 Bash를 사용한다. 일반적으로 다양한 개별 명령을 사용하지만 공격자는 주로 netstat 명령어(netstat -naop, netstat -noa)를 사용한다.

공격자는 종종 오타 등 실수를 하는데 이는 명령어를 복사해서 사용하지 않고 즉흥적인 접근을 나타낸다. 오탈자는 수많은 정찰총국 3국 악성코드 샘플에서 발견된 ‘Microsoft Cooperation’(원래 ‘Microsoft Corporation’)과 같은 일반적인 오탈자를 포함해 영어에 대한 파악이 잘못되었음을 보여준다.

방어회피(Defense Evasion)
공격자는 일반적으로 마지막 스테이지의 악성코드를 VMProtect 또는 Themida로 패킹한다. 이런 상용도구에는 향상된 디버깅 방지·탐지 기능이 있다. 파일 크기는 일반적으로 몇 메가(MB) 정도이며, VMProtect, Themida로 인해 vmp0, vmp1과 같은 일반적이지 않은 파일 섹션명이나 Themida로 인해 랜덤화된 파일 섹션명이 포함되는 경우가 많다.

자격증명 접근(Credential Access)
공격자는 시스템에 추가적인 접근 권한을 얻기 위해 다각적인 방법을 사용해 자격증명을 절취한다. 예를 들면 Mimikatz, ProcDump, Dumpert 등과 같은 공개 자격증명 절취 도구를 사용하기도 하고, NTDS.dit 파일을 통해 액티브 디렉터리 도메인 데이터베이스에 접근을 시도한다.

공격자는 감염된 시스템의 설정을 변경해 시스템이 강제로 자격증명을 저장토록한 다음, 앞서 언급한 도구를 사용해 자격증명을 절취한다. 한 예로, vssadmin 명령어를 사용해 시스템 볼륨을 백업해 액티브 디렉터리 정보가 들어있는 NTDS.dit 파일의 복사본을 검색했다. 또 다른 사례로는 공격자가 오프라인 자격증명 추출을 위해 레지스트리 하이브 데이터를 수집했다.

탐색(Discovery)
공격자는 .NET으로 작성된 사용자 정의된 파일시스템 열거(Enumeration) 도구를 사용했다. 이 도구는 명령 인자를 받아 실행한다. 이를 통해 디렉터리와 파일을 나열하고, 결과물을 파일로 압축한다. 도구는 시스템의 대상 드라이브마다 시작경로, 이름, 마지막 쓰기시간, 마지막 접근시간, 생성시간, 크기 및 속성과 관련된 정보를 수집한다. 또한 공격자는 SMB 프로토콜을 사용해 연결된 장치의 디렉터리와 파일을 열람한다. 이 프로토콜을 사용하면 네트워크 파일 공유가 가능하고 네트워크에서 서비스 및 프로그램을 사용할 수 있다.

내부 확산(Lateral Movement)
공격자는 또한 시스템 로깅을 사용해 탐색하고 내부로 이동한다. 활성창에서 클립보드 데이터와 키 입력을 기록하고, 수집된 로깅 정보를 %Temp% 디렉터리에 저장한다. 공격자는 내부 확산을 위해 RDP(Remote Desktop Protocol)을 사용한다.

명령 및 제어(Command and Control)
공격자는 세계 각지에 위치한 인프라를 활용해 감염된 시스템에 명령을 전송한다. 공격자는 정상적인 네트워크 트래픽으로 보이기 위해 HTTP 패킷으로 그들의 악성코드를 위장한다. 또한, 사용자 지정 프록시 터널링 도구뿐만 아니라 3Proxy, PLINK, Stunnel 등의 터널링 도구를 사용해 네트워크 내부에서 C&C 서버로 다양한 프로토콜을 통해 트래픽을 터널링 한다. 터널링을 사용하면 일반적으로 NAT(Network Address Translation) 또는 웹 프록시를 통해 트래픽이 유입되는 네트워크 구성에도 불구하고 공격자가 C&C 작업을 수행할 수 있다.

수집 및 유출(Collection and Exfiltration)
공격자가 이전에 사용한 악성코드는 영어와 한국어로 국방 및 방산 관련 키워드를 컴퓨터에서 검색하는 등 관심 있는 파일을 찾는데 사용됐다. 공격자는 사용자 정의 도구에 내장된 기능 또는 커맨드라인을 사용해 많은 디렉터리 및 서버에서 파일·폴더 목록을 수집해 데이터를 절취했다.

공격자는 관련 파일을 RAR 압축파일로 수집하고, 때로는 다른 악의적인 도구와 함께 피해자 환경에서 가져온 WinRAR 버전을 사용한다. 공격자는 일반적으로 클라우드 저장소 또는 기본적인 C&C와 관련없는 서버 등의 웹 서비스에 데이터를 유출한다. 특히, 공격자는 피해자 네트워크에서 직접 공격자의 클라우드 저장소 계정으로 로그인해 자료를 유출했다. 또한, PuTTY, WinSCP 유틸리티를 사용해 파일전송 프로토콜(FTP)이나 기타 대체 프로토콜을 통해 북한이 제어하고 있는 서버로 데이터를 유출했다.

공격자들은 또한 피해자 시스템에서 정보절취를 위한 스테이징 파일, 원격 데스크톱 프로토콜 연결을 설정하고, 80 포트에서 HTTP GET 요청을 수행해 정보를 수신하는 것으로 확인됐다.

피해완화(MITIGATION MEASURES)
작성 기관에서는 공격자의 활동을 기반으로 조직의 사이버보안 태세를 개선하기 위해 Log4Shell 및 기타 Log4j 관련 취약점의 영향을 받는 자산을 식별하고, 자산과 영향을 받는 제품을 최신 버전으로 업그레이드할 것을 당부했다.

웹셀 악성코드(Webshell Malware)
공격자는 피해자의 웹 서버에 웹셀 악성코드를 배포해 임의 시스템 명령을 실행한다. 미국 NSA와 호주 신호 정보부의 보고서(‘웹셀 악성코드 탐지 및 방지’)는 웹셀을 식별하고 복구하기 위한 완화 조치를 제공한다. 웹 서버의 악용 방지를 위해서는 시스템과 응용 프로그램의 목록을 유지 관리하고, 패치가 배포되면 신속히 적용하며, 취약하거나 잠재적으로 위험한 시스템을 리버스 프록시 후단에 배치해 인증을 거치도록 하거나, 웹 애플리케이션 방화벽(WAF)을 구성하고 적용해야 한다.

엔드포인트 활동(Endpoint Activity)
추가적인 공격자 활동을 방지하고 탐지하기 위해서는 엔드포인트 에이전트 또는 기타 모니터링 메커니즘을 배포, 불필요한 아웃바운드 연결 차단, 관리자 패널과 서비스에 대한 외부 접근 차단 및 네트워크를 완전 차단해 침해된 웹 서버에서 중요 자산으로 이동하는 것을 방지해야 한다.

커맨드 명령 및 원격 접근(Command Line&Remote Access)
의심스러운 커맨드 명령 모니터링, 원격 접근 서비스에 대한 다중 인증 구현, 중요 자산에 대한 허용 목록 도구를 적절히 분할하고 사용할 경우 안다리엘 뿐만 아니라 다른 위협 행위자의 공격으로부터 보호할 수 있다.

악성 활동에 대한 추가 완화대책
△보안 취약점 확인, 패치 적용 및 최신 버전의 소프트웨어 업데이트
△개인정보를 포함한 모든 중요한 데이터 암호화
△사용하지 않는 포트에 대한 액세스 차단
△비밀번호가 노출된 것으로 의심되는 경우 변경
△임대 서버에 대한 가입자 본인 인증 프로세스 강화
△북한 관련 정의에 대한 보상제도(DPRK Rewards for Justice)

한미 정부는 피해자로 하여금 북한의 사이버 활동 추정을 포함해 의심스러운 활동들을 유관기관에 신고하도록 독려하고 있다. 과거 또는 현재 진행 중인 활동을 포함해 사이버 공간에서 북한의 불법 활동에 대한 정보를 제공하는 경우 보상받을 수 있다. 사이버 공간에서 북한의 불법 활동에 대한 정보를 가지고 있는 경우 美 국무부의 정의에 대한 보상 프로그램을 통해 정보를 제공하면 최대 1,000만 달러의 보상을 받을 수 있다.
[김경애 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)