미국이 디도스 봇넷의 배후로 북한을 공식 지목했다

US-CERT, 북한이 디도스 봇넷 인프라 구축했다고 공식 발표해
히든코브라, 델타찰리 등 세부내용 포함해 대대적으로 경고
알려진 것 외 새로운 사실 없어 발표 시점 관련해 의혹 남아

[보안뉴스 오다인 기자] 미국 인터넷침해사고대응지원센터(US-CERT)가 대규모 디도스 봇넷의 배후에 북한 정부가 있다고 이번 주 공식 발표했다. 미국을 포함한 전 세계의 언론사, 금융기관, 항공 우주 산업, 사회 기반 시설 등을 겨냥한 디도스 봇넷 인프라가 북한에 의해 구축된 것이라고 공식적으로 경고하고 나선 것이다.

[이미지=iclickart]

미국 정부는 북한의 사이버 작전을 ‘히든코브라(Hidden Cobra)’라고 명명한 바 있다. US-CERT는 자문 내용을 통해 히든코브라의 공격 및 멀웨어 기술, 네트워크 시그니처에 대한 지표를 제공했다. 또한, 북한이 봇넷을 관리할 때 사용하는 멀웨어인 ‘델타찰리(DeltaCharlie)’가 감염시킨 시스템 IP 주소도 밝혔다.

US-CERT는 자신의 네트워크 상에서 히든코브라와 관련한 어떤 징후라도 포착하면 그 즉시 해당 요소를 차단한 뒤 미국 국토안보부(DHS) 산하 국가사이버보안통신및통합센터(NCIC: National Cybersecurity Communications and Integration Center) 또는 연방수사국(FBI)에 보고할 것을 요청했다.

“DHS와 FBI는 북한의 디도스 명령 및 제어(C&C) 네트워크에 (일반 컴퓨터가) 더 이상 노출되는 것을 막고 전체 네트워크를 방어하기 위해 (북한 사이버 작전에 이용되는) IP 주소를 공개한다”고 US-CERT는 밝혔다. “FBI는 히든코브라 공격자들이 추후 네트워크를 익스플로잇하기 위해 다수의 IP 주소를 사용하는 것이라고 강력히 확신한다”고도 덧붙였다.

이번 경고를 통해, 미국은 과거에 막연히 국가 지원 공격자들이 일으켰다고 추정하던 사건들에 대해 그 배후가 북한 정부였다고 명확하게 지목한 셈이다. 그렇다 하더라도, 이번 US-CERT 경고의 많은 부분이 사실 이전에 알려졌던 것들이라, 왜 하필 미국이 지금 공표한 것인지는 불투명한 부분이 많다.

US-CERT가 스스로 지적하듯, 보안 연구자들은 이번 보고에서 언급된 악성 행위들을 ‘라자루스(Lazarus)’와 ‘평화의 수호자(Guardians of Peace)’에 연관시켜왔다. 올해 초, 시만텍이 31개국 은행을 대상으로 한 일련의 공격들의 배후에 라자루스가 있을 가능성이 높다고 지목해온 것도 이런 사례 중 하나다.

마찬가지로, 보안 업체들은 북한의 사이버 활동을 일명 ‘평화의 수호자’라고 불러왔는데, 이 평화의 수호자는 지난 2015년 소니(Sony)를 무자비하게 공격한 사건의 배후로 지목돼왔다. 또한 US-CERT 보고서에 봇넷 멀웨어로 언급된 델타찰리는 지난 해 노베타(Novetta) 보고서에서 치밀하게 이력이 기록된 바 있다. 여러 정황을 미루어 볼 때, 그 배후가 바로 북한으로 보인다는 게 요지다.

보안 전문업체 임퍼바(Imperva)의 마케팅 부사장 팀 매튜(Tim Matthews)는 미국의 공표 시점 배경에 대해 이렇게 추정했다. “이번 경고에 언급된 취약점들은 벌써 1년이 더 된 것들입니다. US-CERT가 관찰한 결과, 델타찰리 멀웨어가 감염시킨 시스템이 더 증가했다는 이유 밖에는 별다른 이유가 없어 보입니다.” 그는 나아가 “지난 달 워너크라이 랜섬웨어 사태의 배후로 라자루스가 지목되는 것도 한 요인으로 보인다”고 지적했다. “오래돼서 취약한 애플리케이션을 패치하라고 사용자에게 앞장서서 촉구하고 나선 것도 US-CERT였지 않습니까?” 매튜는 시스템 취약성을 대폭 낮추는 것이 히든코브라 봇넷의 성장을 막을 수 있다고도 짚었다.

구글, 카스퍼스키, 시만텍 등의 보안 연구자 다수는 워너크라이와 라자루스 사이 공통된 코드 요소가 있다며 연관성을 주장한 바 있다.

히든코브라 배후의 공격자들은 MS 윈도우가 더 이상 지원하지 않아 취약점이 많은 구식 시스템을 겨냥하는 경향이 있다고 US-CERT는 설명했다. 이 공격자들이 가장 선호하는 건 아도비 플래시 플레이어의 취약점이라고도 밝혔다.

델타찰리가 사용하는 다른 툴로는 키로거(keylogger), 와이퍼 멀웨어(wiper malware), 원격접근 툴 등이 있다. 예를 들어, 데스트오버(Destover)는 소니 공격, 백도어 트로이목마 와일드포지트론(Wild Positron), 그리고 행맨(Hangman) 등에 사용된 와이퍼 멀웨어라고 US-CERT는 이번 주 밝혔다.

US-CERT의 발표에 대해, 보안 업체 카스퍼스키는 해당 보고서에서 언급된 모든 코드가 라자루스와 연관돼있다는 사실이 확실시된 것이라고 밝혔다. 카스퍼스키는 이런 코드들 중 몇 가지는 2014년 이래 일반에 알려져 논의돼 왔으며, 가장 최신 코드들은 2016년에 제작됐다고 설명했다. US-CERT의 경고에 언급된 멀웨어 툴은 미국, 프랑스, 브라질, 러시아를 포함한 26개국에서 사용됐다고 카스퍼스키는 덧붙였다.

발표 시점에 대한 의문과는 무관하게, 이번 경고는 각 조직이 라자루스, 평화의 수호자 등으로 알려진 히든코브라의 위협에 보다 경각심을 가지게 한다. 매튜는 “언론사, 항공 우주 산업, 금융 서비스 기관, 주요 사회 기반 시설은 히든코브라의 최우선 공격 타깃인 만큼 해당 분야에 일하는 IT 직원들은 US-CERT의 경고를 명심해야 한다”고 강조한다. “각 조직은 어떤 종류의 멀웨어도 습격하지 못하도록 자사 소프트웨어를 언제나 패치하고, 업데이트해야 합니다. 델타찰리의 경우, 패치하지 않는 것은 자신의 회사에 봇넷을 무성하게 키우는 일과 같으니까요.”
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)