북한 추정 라자루스 조직, ‘코인 매니저’ 작전의 실체

3.20 공격 조직의 최신 오퍼레이션 코인 매니저(Coin Manager) 분석해 보니
2009년 디도스와 2011년 금융사 전산망 공격, 2014년 소니 공격기법 등과 동일

[보안뉴스 원병철 기자] 북한의 해커조직으로 추정하는 라자루스(Lazarus)가 개인 금융 소프트웨어로 위장한 공격을 진행한 상황이 발견되어 이목을 집중시키고 있다. 보안기업 이스트시큐리티의 시큐리티대응센터(ESRC)는 19일, 라자루스의 ‘금융 소프트웨어 위장 작전 코인 매니저(Coin Manager)’를 확인했다고 공식 블로그를 통해 발표했다.

▲금융 소프트웨어 위장 작전 코인 매니저[자료=이스트시큐리티]

이스트시큐리티 시큐리티대응센터는 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재한다면서, 특히 해외의 보안업체들은 이 공격그룹에 대해 이른바 ‘라자루스(Lazarus)’ 등의 고유 그룹명을 지정해 사용하고 있다고 설명했다.

▲과거 주요 사이버 위협 사례[자료=이스트시큐리티]

이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이다.

2014년에는 미국 소니픽쳐스의 내부 시스템을 공격한 바 있고, 2016년에는 방글라데시 중앙은행을 해킹한 주범으로 밝혀졌으며, 2017년에는 워너크라이 랜섬웨어를 유포했다. 이외에도 널리 알려지지 않은 유사 침해 위협사례가 무수히 많이 존재한다.

특히, 2017년에는 랜섬웨어 유포, 가상화폐 거래소와 인터넷 뱅킹 해킹, ATM, PoS 기기 등 금융 전 분야에 걸쳐 대대적인 공격을 하고 있다. 그런 가운데 이 공격 조직이 개인 금융 소프트웨어로 위장한 공격을 수행 중인 것이 확인됐고, 작전명(Operation)을 ‘코인 매니저(Coin Manager)’로 명명하고 관련 내용을 일부 공개한다고 이스트시큐리티 시큐리티대응센터는 밝혔다.

공격자들은 대규모 기반 공격을 준비하기 전에 다양한 거점 구축을 위한 사전 작업을 하거나, 특정 공격 타깃에 대한 측면 공격 등을 일상적으로 수행하고 있다.

개인 금융 소프트웨어로 위장한 악성 프로그램 등장

▲개인 금융 소프트웨어로 위장한 악성 파일 화면[자료=이스트시큐리티]

2017년 12월 18일 개인 금융 소프트웨어로 위장한 악성 파일이 식별됐고, 이 파일의 실제 생성 시간 역시 12월 18일이다. 공격자는 한국의 특정 가상화폐 거래 관계자를 겨냥한 공격에 문서 파일기반 취약점뿐만 아니라 유틸리티 프로그램을 위장한 공격도 도입한 것으로 보인다.

이 파일은 설치용 프로그램(SETUP)으로 위장하고 있으며, 설치 과정이 시작되면 즉시 감염 활동을 시작한다. 악의적 코드는 리소스에 은밀히 숨기고 있고 실행 즉시 임시폴더 경로에 ‘lsm.exe’ 파일명으로 실행된다.

▲임시폴더 경로에 악성 프로그램을 설치하는 코드 화면[자료=이스트시큐리티]

은밀하게 설치된 악성 프로그램은 3개의 명령제어 서버(C2)로 암호화 통신을 시도한다. 각각의 IP 주소와 포트는 다음과 같고, 미국과 캐나다 서버가 사용된다.

△50.205.193.11:443 (US)
△208.52.184.13:443 (US)
△184.107.209.2:443 (CA)

▲명령 제어 서버 지도[자료=이스트시큐리티]

공격자는 윈도우즈 명령 처리기 코드 조합을 특유의 방식으로 사용하는데, 이 코드 패턴은 2009년 7.7 DDoS 공격 시점과 2011년 4.12 금융사 내부 전산망 공격에서도 사용됐고, 그 이후 한국 정부 및 민간기업 공격에서 꾸준하게 사용된다. 이 기법은 한국 주요 기관 및 기업의 공격에 주로 활용되는 HWP 문서파일 취약점과 EXE 기반의 스피어 피싱(Spear Phishing) 공격에서 주로 등장한다는 공통점이 있으며, 2014년 미국 소니픽쳐스 공격 등에 사용된 외국 악성 파일에서도 종종 발견되고 있다.

영문 직무기술서(Job Description) 문서로 위장한 표적 공격 사례와 연관성 비교
2017년 04월 말 전후로 DOC 문서 기반의 악성 파일 변종들이 해외에서 다수 보고된 바 있다. 매크로 기능을 활용해 내부에 임베디드된 PE 파일을 생성하고 실행하는 과정을 거치게 되는데, 그 중 하나의 사례를 살펴보면 다음과 같다.

▲한국어 기반으로 제작된 DOC 문서 기반 악성 파일[자료=이스트시큐리티]

해외에서 보고된 이 악성 프로그램은 우선 문서 포맷 자체가 한국어 기반으로 제작된 것을 알 수 있다. 만약 이용자가 해당 파일의 매크로(콘텐츠 사용)를 실행하게 되면 내부에 포함되어 있던 VBA 악성 매크로 코드가 작동하고, 임시폴더(Temp) 경로에 ‘leo.exe’ 파일이 생성되고 실행된다.

물론, 화면에는 정상적인 직무 기술 관련 제안문서 내용을 보여주어 이용자로 하여금 의심하지 않도록 만든다. 여기서 추가 생성된 leo.exe 파일은 2017년 4월 28일 오후에 제작되었고, EXE 파일 역시 한국어 기반의 언어로 만들어진 것을 알 수 있다.

▲한국어 기반에서 제작된 악성 파일 화면[자료=이스트시큐리티]

한국이 아닌 해외가 공격 대상으로 추정되는 이 악성 파일은 흥미롭게도 한국어 기반의 윈도우즈 운영체제에서 개발된 흔적들이 다수 발견됐다. 그리고 악성파일도 마찬가지로 감염 시 특정 명령제어(C2) 서버로 은밀히 SSL 암호화 통신을 시도한다.

▲leo.exe 악성 프로그램이 통신하는 서버 IP 주소 화면[자료=이스트시큐리티]

그런데 여기서 통신하는 서버 중 캐나다(184.107.209.2) 아이피 주소의 경우 특이하게도 2017년 12월 18일 제작된 개인 금융 소프트웨어 위장 악성 파일과 주소가 일치한다. 더불어 2017년 8월에 추가 변종 시리즈가 해외에서 발견되는데, 파일명은 ‘JD53323.doc’다. 물론 지금 공개하는 변종 외에도 다수의 시리즈가 더 존재한다. 워드파일도 동일한 화면 구성과 VBA 매크로 코드 실행 유도를 하게 되며, 생성되는 파일명은 ‘lsm.exe’다.

개인 금융 소프트웨어로 위장했던 것과 동일하게 lsm.exe 파일 이름이 사용된다. 또, 여기서 공격자는 ISkyISea 계정명을 사용하는데, 다수의 변종에서 해당 계정은 연속적으로 식별된다. 이 악성 파일 역시 해외의 특정 서버로 은밀히 통신을 시도한다.

그리고 이 파일 역시 개인 금융 소프트웨어 위장으로 설치된 악성 프로그램과 동일하게 윈도우즈 명령 처리기 코드 조합을 특유의 방식으로 사용하고 있다. 여러 가지 정황상 동일한 제작자로 합리적 의심과 추정이 가능하다. 두개의 파일을 직접적으로 비교해 보면 좀 더 쉽게 각 코드의 유사성이 높다는 것을 파악할 수 있다.

▲작성 함수 유사성 비교[자료=이스트시큐리티]

▲코드 흐름의 유사성 비교 화면[자료=이스트시큐리티]

이처럼 2009년부터 현재까지 동일한 공격 코드 기반의 악성 프로그램이 한국의 유명 기관 및 기업을 대상으로 끊임없이 공격을 시도하고 있다는 점을 명심하고, 의심스러운 이메일이나 URL 링크를 함부로 열어보지 않도록 각별한 주의가 필요하다. 특히, 금융관련 분야 종사자 분들은 개인 및 기업보안에 보다 적극적인 관심과 다양한 노력이 필요하다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)