Home > 전체기사
‘사이버판 타짜’ 알고 보니...국가 지원 해커 그룹
  |  입력 : 2018-07-08 22:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고스톱 등 국내 사행성 게임 이용자 타깃으로 악성코드 제작 및 유포
게임 머니, 불법 환전상 등 다양한 경로 통해 현금으로 바꿀 수 있어 공격
7.7디도스부터 3.20사이버테러, 여행사 해킹까지...국가 지원 해커 그룹 소행


[보안뉴스 김경애 기자] 국가 지원을 받는 특정 해커그룹이 고스톱 등 국내 사행성 게임 이용자를 타깃으로 공격을 시도한 정황이 포착됐다. 해당 그룹은 총책, 관리자, 사기 도박자, 악성코드 개발자로 구성해 지난 2016년 10월부터 2017년 8월까지 약 11개월 동안 게임 정보를 탈취하는 악성코드를 제작하고 유포했다.

이렇듯 국가 지원 해커그룹이 온라인 게임 해킹에 나서는 이유는 게임을 통해 벌어들인 게임 머니는 불법 환전상 등 다양한 경로를 통해 현금으로 바꿀 수 있기 때문이다. 특히, 이들 그룹은 2009년 7.7디도스 공격, 2011년 3.4디도스 공격, 2013년 3.20사이버테러, 2016년 2월 인증서 유출, 2016년 4월 대기업 및 방산업체 공격, 2016년 7월 인터넷 쇼핑몰 해킹, 2016년 8월 국가기관 해킹 등을 저지른 해커 그룹으로 알려졌다.

▲국내를 대상으로 수행한 주요 공격 타임라인[이미지=안랩]


사행성 게임 이용자를 노린 그룹을 ‘오퍼레이션 레드 갬블러(Operation Red Gambler)’로 명명한 안랩의 시큐리티대응센터(ASEC)는 “공격 그룹이 제작한 악성코드는 2016년 10월 최초로 발견됐다”며 “최초 공격 대상은 유틸리티 프로그램을 이용하는 불특정 다수의 사용자로, 같은 해 12월까지 유틸리티 프로그램의 공식 웹사이트를 통해 악성코드를 유포했다. 각 공격은 유틸리티 프로그램에 따라 기간을 두고 진행됐다”고 분석했다.

이들은 2017년 1월, PC방을 새로운 공격 대상으로 삼았으며, 전년도 불특정 다수를 대상으로 한 공격의 효과가 미비했기 때문에 소수의 관리 서버를 통해 다수의 클라이언트 제어가 가능한 PC방으로 공격 대상을 변경한 것으로 보인다.

공격 그룹은 효과적인 공격을 위해 유틸리티 소프트웨어 설치 파일을 변조하거나 PC방 관리 프로그램을 조작하는 형태로 악성코드를 유포했으며, 다운로드 게시판에 업로드된 설치 파일 또는 다운로드 링크를 변조하는 공격 방식을 이용했다.

▲사기도박 조직 구성도[이미지=안랩]


유틸리티 소프트웨어 설치 파일 변조
유틸리티 소프트웨어를 통한 공격 활동은 2016년 10월부터 발견됐으며, 공격의 진원지는 유틸리티 소프트웨어의 공식 홈페이지로 확인됐다. 공격 그룹은 다운로드 게시판에 업로드된 설치 파일 또는 다운로드 링크를 변조하는 공격 방식을 이용했다.

공격 그룹은 가상 사설망(VPN) 서비스를 제공하는 프로그램부터 원격제어 프로그램, 시스템 최적화 프로그램까지 다양한 종류의 유틸리티 소프트웨어를 공격 대상으로 삼았다.

공격 대상을 속이기 위해 악성코드와 설치 파일을 결합해 변조된 설치 파일을 만들었는데,첫 번째는 공식 홈페이지의 정상 설치 파일을 변조된 설치 파일로 바꿔치기하는 방법이며, 두 번째는 공식 홈페이지의 다운로드 링크 주소를 변조된 설치 파일이 업로드된 공격자 서버 주소로 변조하는 방법이다.

이용자가 프로그램을 설치하기 위해 다운로드 링크 주소를 클릭하면, 공격자 서버로부터 변조된 설치 파일이 다운로드된다. 공격 그룹은 공식 홈페이지 관리자와 프로그램 이용자의 의심을 피하고자 다운로드 링크 주소를 정상 다운로드 링크 주소와 유사한 문자열로 생성했다. 또한, 단일 서버에 다수의 도메인 이름(Domain Name)을 등록하는 방식으로 서버를 운영했으며, 파일 다운로드 이외에 다른 목적으로 서버에 접속할 경우에는 공식 홈페이지로 리다이렉트 되도록 설정했다.

PC방 관리 프로그램 통한 공격 방식
PC방 관리 프로그램을 통한 공격 방식은 2017년 상반기에 확인됐다. 공격이 발생한 PC방을 토대로 유포 경로를 분석한 결과, PC방 클라이언트에 명령어가 실행된 것이 확인됐다. 공격 그룹은 PC방의 운영 솔루션 또는 관리 프로그램 서버에 침투해 사전에 제작된 악성 URL에서 악성코드를 다운로드 및 실행하는 명령을 내린 것으로 추정된다.

공격 그룹이 이용한 악성코드는 윈도우 운영체제의 사용자 계정 컨트롤(UAC: User Account Control) 기능을 우회해 관리자 권한으로 실행된다. 사용자 계정 컨트롤은 윈도우 비스타 운영체제부터 도입된 보안기능으로, 윈도우 운영체제에서 시스템에 영향을 줄 수 있는 보안 문제를 예방하기 위해 작업 권한에 따라 실행을 제한한다. 작업 권한에는 관리자 권한과 표준 사용자 권한이 있으며 레지스트리 수정, 시스템 경로에 파일 생성 및 삭제 등 시스템에 영향을 미치는 작업이 실행되면 사용자 계정 컨트롤 팝업창을 생성해 관리자 권한을 요구한다.

이러한 일련의 권한 상승 과정을 우회하기 위해 마이크로소프트 관리 콘솔(이하 MMC)을 이용한 레지스트리 하이재킹(Hijacking) 기법을 이용한다. MMC는 시스템 구성 요소로 사용되는 도구이며, 마이크로소프트 관리 콘솔 파일(이하 MSC)을 관리한다.

시스템 구성 요소 중 하나인 이벤트 뷰어(eventvwr.exe)가 실행되면 순번에 따라 2개의 레지스트리 경로에 데이터를 읽고 실행한다. 이 실행 과정은 관리자 권한 사용자 계정 컨트롤(UAC) 기능으로 동작해 데이터 영역에 특정 파일의 경로를 추가할 경우 관리자 권한으로 파일을 실행할 수 있다.

악성코드는 레지스트리에 파일 경로를 추가한 뒤 이벤트 뷰어를 실행한다. 이때 이벤트 뷰어에 의해 관리자 권한으로 실행된 악성코드는 UAC 기능을 우회해 악성 행위를 수행한다.

해당 악성코드는 드로퍼(Dropper) 기능을 수행하며, 파일 내 암호화된 두 개의 파일을 복호화해 특정 경로에 추가 파일을 생성한다. 생성된 추가 파일은 taskeng.exe와 wrmk.dll이며, 작업 스케줄러에 등록돼 일정 간격으로 자동 실행된다.

과거 국내 공격때 사용된 암·복호화 코드 패턴과 동일
안랩 ASEC은 “이번 오퍼레이션 레드 갬블러(Operation Red Gambler) 공격 역시 특정 공격 그룹과 관련돼 있다”며 “2016년 2월 I사 인증서 유출, 2016년 4월 방산업체 해킹, 2016년 8월 국가기관 해킹, 2017년 3월 ATM 해킹 등에 사용한 악성코드와 오퍼레이션 레드 갬블러 공격에 사용된 악성코드가 동일한 암·복호화 코드 패턴을 사용하고 있다”고 분석했다.

이들은 표면적으로 정보 유출이 주목적으로 보이지만 실제로는 오퍼레이션 레드 갬블러와 같이 탈취한 정보를 이용해 경제적 이득을 취하고 있는데, 지난 2016년부터 국내를 타깃으로 지속적으로 공격하며 공격 대상을 다각화하고 있는 것으로 알려졌다.

이에 안랩 ASEC 측은 “이들 공격 그룹은 경제적 이익을 위해 앞으로도 다양한 악성코드를 사용하여 다수의 공격을 시도할 것”이라며 “이러한 공격에 대비하기 위해 국가기관과 보안 업체 간의 긴밀한 공조와 협력이 필요하며, 개인 사용자들도 각별한 주의가 요구된다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향