세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한 탈북자 및 조력자 노리는 고도의 표적 공격 경계하라
  |  입력 : 2018-01-12 12:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다양한 소셜 엔지니어링 방법 동원해 공격 대상 직접 노려
스파이웨어 심어 관찰...배후 세력은 남한 문화 친숙하고 북한 말 잘 써


[보안뉴스 문가용 기자] 최근 북한 탈북자들과 기자들만을 노리는 고도화된 표적 공격이 발견됐다. 이를 조사하고 있는 보안 업체 맥아피(McAfee)에 의하면 이 캠페인의 배후에 있는 자들이 여태까지 한 번도 모습을 드러낸 적이 없는 사이버 범죄 단체일 가능성이 높다고 한다.

[이미지 = iclickart]


공격자들의 목표는 공격 대상으로 선정된 자들을 멀웨어로 감염시키는 것이다. 이들은 다양한 방법을 동원하는데, 전통적인 이메일 피싱 공격은 물론 카카오톡과 페이스북을 통한 소셜 엔지니어링 공격도 실시하고 있다. 단축 URL 서비스를 활용한 모습이 발견되기도 했다. 이와 관련된 내용은 본지가 12월 3일자로 보도한 바 있다(제목 : ‘북한의 기도’ 악성앱 전파...탈북자 스마트폰 노려).

맥아피는 현재까지 두 가지 멀웨어 드로퍼를 찾아냈다. 하나는 ‘북한을 위한 기도’ 애플리케이션의 형태를 하고 있고, 다른 하나는 블러드어시스턴트(BloodAssistant)라는 모바일 설치 파일이다. 둘 다 클릭하거나 설치하면 대한민국에서 유행하거나 탄생한 감염이 시작된다고 맥아피는 설명한다.

현재까지 공격이 가장 빈번하게 일어난 브라우저와 OS는 크롬과 윈도우다. 안드로이드 환경도 그 뒤를 바짝 쫓고 있다. 페이스북은 감염 경로의 12%를 차지하고 있다. 맥아피가 발견한 트로이목마는 Android/HiddenApp.BP로 악성 APK 파일을 통해 공격 대상의 기기에 설치된다. “페이스북, 이메일, 카카오톡 등 다양한 방법을 활용하긴 하지만, 드로퍼를 먼저 설치하고 그 드로퍼를 통해 추가 페이로드를 다운로드 받는 방식은 동일합니다.”

기기에 침투 성공한 드로퍼는 먼저 해당 기기가 이미 감염되어 있는지 여부부터 확인한다. 그리고 사용자가 접근 권한을 허용할 수 있도록 유도한다. 그리고 가짜 화면을 전면에 띄워놓고 배경에서 드로퍼의 활동을 가능하게 해주는 옵션들을 조정하고, 두 번째 페이로드를 다운로드 받는다. 이 두 번째 페이로드의 다운로드와 설치가 완료되면 가짜 화면이 사라진다.

이 두 번째 페이로드와 연결된 C&C 서버는 드롭박스(Dropbox)와 얀덱스(Yandex)라는 클라우드 서비스에 위치해 있다. 멀웨어는 이 C&C 서버로 기기 정보를 보내고, C&C 서버로부터 명령이 들어있는 파일을 다운로드 받는다. 대부분의 경우 문자 메시지를 저장하거나 연락처 정보를 전송하는 등의 활동을 한다.

이 공격 캠페인에 발견되는 악성 APK의 다양한 변종들은 구글 드라이브의 한 계정에서 발견됐다고 한다. 그 계정은 소셜 엔지니어링 공격에 활용되기도 했다. 또한 피해자들에게 전송되는 단축 URL 중 하나로도 보인다.

맥아피는 “공격자가 누구인지, 남한의 문화적 배경에 매우 밝은 듯 하다”고 말한다. “그러면서도 북한에서 사용되는 말들도 친숙하게 사용하고 있습니다. 몇몇 안드로이드 기기들에서 발견된 테스트 로그 파일에서는 멀웨어의 출처 일부가 북한의 IP 주소로 나오기도 했습니다.”

한편 선 팀(Sun Team)이라는 이름을 가진 폴더가 삭제된 흔적도 맥아피는 발견했다. “이 이름이 배후 세력과 연관이 있지 않을까 강력하게 의심이 됩니다. 선 팀은 2016년 이후 간간히 활동해오던 것으로 알려져 있습니다만 아직 정확한 정보는 공개되어 있지 않습니다.”

맥아피가 분석한 바 이번 공격의 가장 큰 특징은 “고도화된 표적형 공격”이라는 것이다. “여러 경로로 공격 대상에게 곧바로 접근하여 스파이웨어를 심습니다. 아직 누가 공격을 했는지는 모르겠습니다. 선 팀이라는 세력이 가장 유력해 보입니다만 이들의 정체는 아직 미스터리에 가깝고요.”

신원을 알 수는 없지만 맥아피는 “남한의 환경에 친숙하면서도 북한의 말을 잘 쓰는 이들”이라고 특징을 짚어낸다. “그런 사람들이 지금 북한 탈북자들과, 탈북자를 돕는 다양한 계층의 사람들을 표적으로 정하고 정찰하고 있습니다. 이에 대한 경계가 필요합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#북한   #탈북자   #고도   #표적   #기자   


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)