북한 사이버 공격자, 어떻게 식별할까?

입력 : 2024-10-22 18:27

로그프레소, 아홉 번째 사이버 위협 인텔리전스 리포트 발행
실제 북한 해커가 사용한 이메일 정보 분석

[보안뉴스 박은주 기자] 2023년 우리나라 공공기관을 대상으로 한 사이버 공격이 일평균 162만 건에 달한다는 국가정보원의 발표가 있었다. 이 가운데 약 80%가 북한발 해킹으로 구분됐다. 북한에 의한 사이버 공격이 빈번하게 발생하는 가운데, 북한 사이버 공격자를 식별하는 방법에 대한 의문이 대두되고 있다.


클라우드 SIEM 전문기업 로그프레소(대표 양봉열)가 아홉 번째 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 리포트를 발행하고, 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석한 결과를 공유했다.

현재 북한은 아시아 태평양 네트워크 정보센터(APNIC, Asia-Pacific Network Information Centre)에서 공식적으로 할당받은 IP 대역과 러시아 및 중국 통신사가 제공하는 IP 대역을 사용 중이다. 북한에서도 인터넷을 이용하고 있으나, 극히 제한적인 사용자만 외부 인터넷에 접속할 수 있다.

로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인할 수 있었다.

또한 로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석했다. 해당 정보를 근간으로 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며, 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다.


과거에는 악성코드를 분석해 공격 그룹을 조사했으며, C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했다. 그러나 최근 들어 공격자가 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서, 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다.

로그프레소 장상근 연구소장은 “사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다”며, “사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것”이라고 전했다.

이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례를 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안 솔루션의 한계를 개선하기 위한 방안을 함께 소개했다.

로그프레소 측은 “근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response, 보안운영자동화) 도입을 추천한다”며 “보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 ‘MTTR(Mean Time To Respond)’을 줄이는 것이 핵심”이라고 설명했다.

로그프레소는 고객이 사이버 대응 전략을 수립할 수 있도록 발생할 수 있는 위협과 사례를 분석한 CTI 리포트를 공유하고 있다. 해당 리포트는 로그프레소 홈페이지에서 확인할 수 있다.

한편, 로그프레소는 현재 누적 침해 지표(IoC) 640억건 이상, PI(Privacy Intelligence) 2,500억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적 중이다. 또한 수집한 정보를 자사 SIEM(Security Information and Event Management, 통합보안관제) 및 SOAR와 동기화해 실시간으로 활용할 수 있도록 지원한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

박은주기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  北 해킹그룹, MS 지원 종료 소프트웨어 악...

• 2

  개인정보 유출된 골프몬, “적법한 절차와 키...

• 3

  [보안&영화] 보안 담당자들이 커리어를 통해...

• 4

  ‘CISO 역량강화’, 조직 정보보호와 국가...

• 5

  아직 수수께끼 많은 북한의 ATM 탈취 멀웨...

• 1

  [ISEC 2024] 지니언스 문종현 이사 ...

• 2

  아직 수수께끼 많은 북한의 ATM 탈취 멀웨...

• 3

  클라우드 도입율 늘어나고 있지만 안전한 사용...

• 4

  라운드큐브 오픈소스 웹메일의 XSS 취약점,...

• 5

  개인정보 유출된 골프몬, “적법한 절차와 키...

• 1

  미국과 영국이 합동으로 내놓은 보안 경고문,...

• 2

  사이버 범죄 단체, 어느 규모까지 일을 벌일...

• 3

  상주·문경시청-정보통신행정연구원, 개인정보보...

• 4

  ISMS, ISMS-P 인증 시 필요한 ‘악...

• 5

  진화하는 사이버 공격, 전 세계 신흥안보로 ...