세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
올해 3분기 북한 추정 사이버공격 30건, 유형·특징 집중분석
  |  입력 : 2017-09-25 14:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3분기 동안 알려진 북한 추정 사이버공격 총 30건 달해...‘빙산의 일각’ 불과
취약점 악용해 신생금융분야, 대북관련 활동자, 국방·정치 분야 타깃 공격


[보안뉴스 김경애 기자] 9월 들어서만 북한 추정 사이버공격이 10건이 넘게 발생한 것으로 집계됐다. 이보다 앞선 지난 8월에 탐지된 북한 추정 사이버공격은 이보다 2배 가량 많은 18건으로 드러났다. 지난 7월의 2건까지 포함하면 3분기 동안 무려 30건의 북한 추정 사이버공격이 감행된 것으로 분석됐다. 이는 본지 보도와 보안전문가들 취재 내용을 토대로 집계한 건수다. 하지만 이는 빙산의 일각일 뿐 알려지지 않은 공격까지 더한다면 북한의 사이버공격은 훨씬 더 많을 것으로 추정된다.

▲ 올해 3분기 북한 추정 사이버공격 사례[자료=보안뉴스 집계]


그렇다면 3분기 동안 공격한 이들의 공격방식은 무엇이며, 무슨 취약점을 토대로 어떤 타깃을 위주로 공격했을까. 3분기 동안 발생한 사건을 분석한 결과, 국내 사용자가 다수 이용하는 문서파일에 대한 악성코드 삽입이 가장 많이 발견됐다. 특히, 한글 문서의 경우 더 많은 사용자들의 악성코드 감염을 위해 최신 취약점을 악용한 것으로 분석됐다.

1. 한글문서 등 문서 프로그램 취약점 악용
최근에는 한컴업데이트 모듈로 위장한 악성파일과 HWP 취약점 개발도구까지 개발한 정황이 포착됐다. HWP 취약점 개발도구는 원격 공격 기능 등을 개발한 북한 사이버전사가 만든 것으로 추정된다.

이와 관련 북한의 사이버공격 전문 연구그룹은 “2014년 한수원 공격에 사용한 HWP 취약점도 그랬지만, 북한의 사이버전사는 다수의 정상 HWP 문서에 악성기능을 삽입하는 자동화 도구를 개발해 사용한 바 있다”고 지난 24일 밝혔다.

이보다 앞서 지난 8월 한 보안전문가는 “최근 1~2개월 내 한글, 워드, 엑셀의 매크로 등 취약점 이용한 공격이 집중적으로 감행되고 있다”고 밝혔다.

2. 대형 포털의 이메일 취약점을 노린다
대형 포털의 이메일 취약점을 이용한 공격도 최근 발견되며 주목을 받고 있다. 지난 19일에는 대형 포털사이트인 다음 이메일의 img 태그 XSS 취약점을 이용한 공격이 포착됐으며, 같은 날 2100년으로 조작된 북한 추정의 악성프로그램도 발견됐다. 뿐만 아니라 비트코인 거래기업인 모 사이트의 입사 지원서로 위장한 한글 악성파일이 제작된 정황도 드러났다.

또한, 지난 17일에는 북한 추정 해커가 국내에 접속한 정황이 포착됐으며, 15일에는 한메일을 이용해 전파된 북의 침투 프로그램이, 14일에는 북 공격자가 침투에 사용한 정상 문서 파일이 발견되기도 했다. 이와 함께 지난 8월 30일에는 2017년 제작한 악성파일이 통신하는 한국 서버가 ‘인터넷나야나’ 웹 호스팅 사용 서버로 연결을 시도한 정황도 포착됐다.

3. 외화벌이 목적의 가상화폐 거래소 공격 빈발
북한 추정 해커들의 공격대상은 크게 외화벌이 목적으로 가상화폐 거래소, 핀테크 전문기업 등 신생 금융기관을 타깃으로 한 사례와 주요정보 탈취를 위해 군·정치·북한 관련 전문가를 타깃으로 감행된 공격으로 나눌 수 있다. 그 가운데서도 가상화폐 거래소를 노린 공격은 끊임없이 진행되고 있다.

이와 관련해서 지난 12일에는 북한이 수출입 등 무역거래에 가상화폐를 이용한다는 사실이 본지 취재결과 드러났으며, 같은 날에 블록체인에 기반한 스타트업과 가상화폐 거래소, 핀테크업체 등을 노리고 이력서나 근로계약서로 위장한 타깃 공격 시도도 포착됐다.

지난 8월 29일에는 라디오 프리 아시아(RFA)가 북한 추정 해커조직이 한국 비트코인 거래소 3곳과 유럽의 거래소 1곳을 공격했다고 보도한 바 있는데, 이날 이들이 다시 공격 활동을 시작해 Imminentmethods 사이트에서 지원하는 RAT(원격제어 툴) 유형의 악성코드가 탐지된 것으로 드러나기도 했다.

8월 23일에는 외화벌이 공격에 가상화폐 관련 기업이나 커뮤니티가 어떻게 악용되는지 분석된 바 있다. 이에 대해 북한 사이버공격 전문 연구그룹 측은 “북한 해커는 국내외 특정 웹사이트를 거점으로 구축(해킹)한 후 공격 대상에 따라 HWP, DOC, XLS 등 각종 악성 문서를 이용해 1차 침투를 시도한다”며, “그 다음 침투 성공 신호를 수신한 후에는 C&C 서버에서 2차 지령을 하달해 원격 수색을 시작한다”고 밝혔다. 특히, 공격자들은 주로 가상화폐 관계자들이 보유한 내부정보나 서버의 구조를 파악하는데 주력하고 있으며, 가상화폐 관련 커뮤니티 활동을 통해 최신 트렌드 습득은 물론 공격기법을 연구하고 있는 것으로 알려졌다.

또한, 8월 21일에는 ‘코빗’ 비트코인 거래소 도메인으로 위장한 피싱 메일이 탐지됐으며, 같은 날 금융감독원과 금융보안원, 국세청, 공정거래위원회 등이 수신인으로 위장한 악성코드가 줄줄이 발견됐다. 8월 17일에도 금감원과 금보원, 국세청, 공정거래위원회 등으로 위장한 악성코드 및 스피어피싱 메일이 유포되는 등 가상화폐를 노린 공격은 지속적으로 탐지돼 왔다.

외화벌이가 주 목적인 가상화폐 관련 타깃 공격은 해외에서도 발견된 바 있다. 한 보안전문가는 “해외에서 발견된 악성파일 중에는 북한 IP로 셋팅돼 ‘디도스 공격과 라이트코인 채굴’ 기능이 있는 악성파일도 있다”고 밝힌 바 있다.

대응방안에 대해 금융보안원 곽경주 과장은 “해당 공격에 대한 위험도 평가(Risk Assessment)를 할 수 있는 기술력과 통찰력이 필요하고, 외부 위협요소 관련 정보를 지속적으로 수집하는 전담팀이 요구된다”며 “인텔리전스 담당자는 기술 기반의 인력임과 동시에 커뮤니케이션 스킬도 요구되는 상황”이라고 말했다.

4. 대북관련 활동자 노린 타깃 공격
이달 초인 9월 1일에는 대북관련 활동자를 노린 공격 시도도 탐지됐다. 지난 8월 31일에는 ‘문재인 정부의 탈핵선언을 비판한다.hwp’ 악성파일이 첨부된 메일 공격이 발견되는 등 지난 8월 27일부터 31일까지 스피어피싱 공격 시도와 공격이 증가한 것으로 분석됐다. 뿐만 아니라 이보다 앞서 지난 8월 27일에는 ‘개성공단 재개 절대 안되는 8가지 이유.hwp’ 파일이 발견됐으며, 8월 25일에는 워너크라이 랜섬웨어가 북한 IP와 연결되는 정황도 포착됐다.

8월 11일에는 정치인과 정부부처 등을 타깃으로 한 공격 징후가 지속적으로 발견된 바 있다. 7월 31일에는 러시아 도메인과 한국식 이름을 조합해 표적 공격한 정황이 포착됐으며, 하루 앞선 30일에는 한국의 보안기업을 노리고 해킹을 시도해 대남 사이버공작에 한국 내 특정 보안기업의 내부 문건을 활용한 정황도 드러났다.

5. 국방 분야를 노린 공격 탐지
마지막으로 국방 분야를 노린 공격도 잇따라 탐지됐다. 지난 8월 18일에는 한 군사정보 사이트에 악성광고 스크립트가 삽입된 정황이 발견됐으며, 같은 달 7일에는 국방·군 관계자들의 체력과 건강관리를 위해 운영되는 특정 웹사이트에 악성파일이 은밀히 삽입된 정황이 드러나기도 했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#취약점   #다음   #북한   #사이버공격   #해킹   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)