북한 관련자들 노린 ‘레드 아이즈’의 사이버공격 일지

레드아이즈 공격그룹: 탈북자, 북 인권운동가, 언론, 군 등 타깃 공격
한글파일의 EPS 취약점, VBS, EXE 실행파일 등 이용해 공격...다른 국가도 타깃

[보안뉴스 김경애 기자] 탈북자, 북한 인권운동가, 북한 연구가, 언론인, 군 등 주로 북한과 관련된 사람들을 타깃으로 한 사이버 공격 그룹인 레드 아이즈의 실체가 드러나 관심이 모아지고 있다.

[자료=안랩]

3일 안랩이 발표한 분석보고서에 따르면 레드 아이즈(Red Eyes)는 금성121(Geumseong121), 그룹 123(Group 123), 스카크러프트(ScarCrurf), APT37, 리퍼(Reaper), 물수제비 천리마(Ricochet Chollima) 등으로도 알려져 있다.

레드 아이즈 그룹은 △2015년 7월, IT 기업 공격을 시작으로 △2016년 1월, 한컴 업데이트 파일로 가장 △북 수소폭탄 게임의 진실과 대응책.hwp 파일로 위장 △2016년 2월, 경찰 불법복제 소프트웨어 점검 프로그램 사칭 △2016년 3월, 언론사 타깃 공격 △2016년 4월, 크롬 설치판 및 화면 캡처 프로그램 등으로 위장해 지속적으로 공격을 감행했다.

해당 그룹은 2016년에 가을에 처음 확인됐으며, 다양한 공격 방식을 사용하고 있다. 목표 대상에 메일이나 모바일 메신저로 악성코드가 포함된 문서를 보내는 방식을 주로 사용한다. 한국에서 널리 사용되는 한글 파일(HWP)의 EPS 취약점을 이용하거나 실행 가능한 VBS, EXE 등의 파일을 삽입하는 방식을 쓴다. 한글 파일 뿐 아니라 마이크로소프트 오피스 문서도 공격에 사용하는 것으로 드러났다. 악성코드 내에 First, Happy, Work 등의 특징적 문자열을 가지고 있는 것으로 분석됐다.

[자료=안랩]

해당 공격그룹에서 제작한 것으로 보이는 악성코드는 2016년 가을부터 2017년말까지 계속 발견됐으며, 악성코드는 주로 문서파일, 드롭퍼, 백도어 등으로 조사됐다.

[자료=안랩]

2016년 가을 발견된 한글문서에서 최초의 EPS를 이용한 문서가 발견됐는데, 주로 북한학술대회, 북한소식, 탈북자 내용을 담고 있다. 2017년 1월에는 북한신년사 내용을 담고 있는 한글파일이 발견됐다. 첨부된 Hwp.exe 파일은 다른 악성코드를 메모리에서 실행해주는 로더(Loader) 역할을 하며, 최종적으로 메모리에서 실행되는 악성코드와 유사한 변형은 2016년 11월에도 발견됐다.

2017년 2월 이력서를 가장한 한글문서에서 해당 그룹의 새로운 백도어인 Dogcall이 발견되기도 됐다. 2017년 10월말과 11월에는 DDE(Dynamic Data Exchange)를 이용한 공격이, 2018년 2월에는 엑셀 문서에 플래시 제로데이(CVE-2018-4878) 파일을 첨부한 공격도 확인됐다. 하지만 실제 공격은 2017년 11월로 알려졌다. 가장 최근인 올해 3월에는 공격 대상에게 모바일 악성코드를 보내는 방식도 사용된 것으로 알려졌다.

[자료=안랩]

특히, 레드 아이즈 그룹은 2015년 Operation ProgamsByMe을 일으킨 공격 그룹과 동일 그룹이거나 연관됐을 가능성이 높다는 게 안랩의 분석이다. 이와 관련 안랩 측은 “시기적으로2015년과 2016년 봄까지 왕성하게 활동한 그룹의 발자취가 사라진 후, 레드 아이즈 그룹이 2016년 가을에 처음 발견됐다며 해당 그룹에서 제작한 악성코드에서 동일 소스코드를 사용한 것으로 보이는 악성코드도 컴파일 경로가 다르다는 점에서 악성코드 제작자가 여러 명 존재한다”고 예상했다. 또한, 해당 그룹은 한국 내 탈북자 뿐 아니라 다른 나라에도 공격을 가하고 있어 이들의 활동을 주시해야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)