세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
북한의 해커 그룹 APT37, 최근 공격 대상 넓혔다
  |  입력 : 2018-02-21 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
APT37, 새로운 북한 정부의 툴? 아시아와 중동에도 활동 시작
최근 한국서 플래시 제로데이 이용해 공격...다양한 멀웨어 널리 배포


[보안뉴스 문가용 기자] 북한 정부의 지원을 받고 있는 것으로 보이는 해킹 그룹 APT37이 최근 공격을 시작했다고 보안 업체 파이어아이(FireEye)가 발표했다. APT37의 또 다른 이름은 리퍼(Reaper), 그룹123(Group123), 스카크러프트(ScarCruft)다.

[이미지 = iclickart]


이 단체는 적어도 2012년부터는 활동을 시작한 것으로 여겨지지만 또 다른 북한 해킹 그룹인 라자루스(Lazarus)만큼 주목받진 못했다. 아무래도 라자루스가 떠들썩한 사건을 더 많이 일으켰기 때문이다.

시스코가 지난 1월 APT37에 대한 보고서를 발표한 바 있긴 하지만 실제로 APT37이 관심을 받기 시작한 건 2월부터다. 대한민국의 사용자들을 겨냥해 어도비 플래시 플레이어의 제로데이 취약점을 악용해왔다는 것이 드러났기 때문이다.

APT37의 공격 대상은 주로 대한민국이었다. 남한의 정부, 국방, 언론 기관을 계속해서 두들기며 북한 정부의 군사, 정치, 경제적 목적을 성취해가는 데에 나름의 역할을 하고 있는 것으로 알려져 있다. 한 마디로 북한 정부의 ‘사이버 수족’과 같은 존재라는 것이다.

그런데 파이어아이의 최근 보고에 의하면 APT37이 공격 대상을 일본, 베트남, 중동으로 확장시켰다고 한다. 또한 분야 역시 화학, 생산, 전기전자, 우주항공, 의료, 자동차 산업으로까지 확대됐다.

파이어아이는 “최근 APT37이 중동의 통신망 사업자를 공격했는데, 이 회사는 최근 북한 정부와 계약을 맺으려 했던 곳”이라고 밝혔다. 보다 구체적으로 말하면 북한 정부와 해당 업체 간 협상은 결렬됐고, 그 시점부터 APT37이 그 회사를 공격하기 시작했다고 한다. “계약을 맺음으로써 얻어가려고 했던 정보를 노린 것으로 보인다”고 파이어아이는 분석한다.

APT37은 얼마 전 플래시 플레이어와 아래한글 워드 프로세서에서 발견된 몇 가지 취약점들을 익스플로잇 해서 다양한 멀웨어를 배포한 바 있다. RUHAPPY라는 삭제형 멀웨어, CORALDECK이라는 빼돌리기 툴, GELCAPSULE과 HAPPYWORK라는 다운로더, MILKDROP과 SLOWDRIFT라는 런처, ZUMKONG이라는 정보 탈취형 툴, SOUNDWAVE라는 음성 캡처 툴, DOGCALL, KARAE, POORAIM, WINERACK, SHUTTERSPEED라는 백도어들이다.

APT37은 각종 소셜 엔지니어링 전략과 워터링홀 공격 전략, 토렌트 다운로드 사이트를 사용해 위 멀웨어를 대단위로 퍼트리기도 했다.

파이어아이는 “APT37이 북한 정부와 관련이 있을 가능성은 대단히 높다”고 주장한다. “북한 IP가 사용됐으며, 멀웨어 컴파일러 타임스탬프가 항상 북한의 근무 시간과 겹쳐 있으며, 무엇보다 공격의 동기나 대상이 북한 정부의 정치적인 목적과 항상 부합합니다. 이런 증거들을 바탕으로 저희는 북한이 APT37 뒤에 있다고 믿고 있습니다.”

보고서를 통해 파이어아이는 “북한은 여러 가지 목적을 달성하기 위해 반복적으로 사이버 공격을 감행해 온 전적이 있다”며 “스스로의 가치나 국제적인 규범도 이러한 행위를 막을 수 없었다”고 주장했다. 한 마디로 한계가 없고, 그러므로 예측 불가능한 일들을 벌일 수 있다는 것이다.

“북한은 라자루스 등 활용 가능한 ‘툴’들 역시 보유하고 있습니다. 이 툴들을 활용해 사이버 공간에서 공격적인 행동을 취할 수 있는 것이죠. APT37도 그 중 하나입니다. 아마도 서방 세계에 잘 알려져 있지 않다는 점 때문에 APT37을 다른 툴들보다 선호할 것으로 보입니다. 그래서 기존에는 대한민국만 공격하다가 다른 나라들로까지 공격범위를 넓힌 것 같고요. 앞으로 APT37이 더 많은 곳에 출현할 것으로 예상합니다.”

하지만 파이어아이 외에 라자루스와 북한을 계속해서 연관시켜 온 카스퍼스키와 시스코는 APT37과 북한 정부를 연관 짓지 않고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)