북한의 라자루스, 이번에는 러시아의 조직들 공격

키마블이라는 라자루스 고유의 페이로드 발견돼
러시아와 북한 간 지정학적 관계를 뒤흔드는 공격?

[보안뉴스 문가용 기자] 북한의 해커들이 아무리 극성을 떨어도 러시아와 중국은 안심할 수 있었다는 게 기존의 정설이다. 왜냐하면 북한과 오랜 시간 친교를 맺고 있는 몇 안 되는 나라가 러시아와 중국이기 때문이다.

[이미지 = iclickart]

그러나 최근 보안 업체 체크포인트(Check Point)가 밝혀낸 바에 따르면 이 정설에 금이 가기 시작했다고 한다. 북한의 악명 높은 해킹 그룹인 라자루스(Lazarus)가 러시아를 겨냥해 공격을 실시하고 있는 것으로 보인다는 것이다. 체크포인트는 자사 블로그를 통해 “사상 처음으로 북한이 러시아 조직들을 공격하는 정황을 발견했다”고 발표했다.

체크포인트는 “이번에 발견된 공격의 주체는 라자루스 내의 블루노로프(Bluenoroff)인 것으로 보인다”고 한다. 블루노로프는 주로 ‘경제적인 목적을 달성하는 해킹 공격’을 담당하고 있는 하위 그룹인 것으로 알려져 있다. 그 외에도 ‘대한민국 조직들을 주로 공격하는’ 임무를 맡은 안다리엘(Andariel)이라는 하위 그룹도 있다.

라자루스는 그 동안 세상을 들썩이게 했던 대규모 해킹 사고의 배후 세력인 것으로 알려져 있다. 2014년의 소니 픽처스 해킹 사건과 방글라데시 중앙은행 8천 1백만 달러 도난 사건이 특히 유명하다.

체크포인트가 최근 발견한 공격이 라자루스 내 하위 그룹으로부터 시작했다고 생각하는 이유는 마지막 페이로드 때문이다. 미국 침해대응센터가 “라자루스가 사용하는 백도어”라고 공개한 키마블(KEYMARBLE)이었다. 2018년 8월 미국 국토안보부도 보고서를 통해 키마블에 대해 공개한 바 있다. 당시 보고서에 따르면 키마블은 원격 접근 툴(RAT)의 일종으로, 데이터를 탈취하고, C&C로부터 명령을 받아 실행하는 기능을 가지고 있다.

최근 러시아 조직을 향한 공격은 다음 세 가지 단계를 통해 이뤄졌다고 한다.
1) 멀쩡한 PDF 문서 하나와 악성 워드 문서가 담긴 ZIP 압축 파일을 피해자에게 전달한다. 이 워드 문서에는 악성 매크로가 포함되어 있다. 한 공격 사례에서는 러시아의 저작권 보호 기술 기업인 스타포스 테크놀로지스(StarForce Technologies)의 기밀 유지 협약 문서가 발견되기도 했다. 2) 악성 워드 문서의 경우 드롭박스로부터 VBS 스크립트를 다운로드 받는다. 3) 이 스크립트는 침해된 서버로부터 CAB 파일을 다운로드 받아 압축을 풀고 페이로드를 실행시킨다.

어떤 경우 두 번째 단계가 생략되기도 한다고 체크포인트는 밝혔다. “그런 경우 최초 단계에서 사용하는 악성 워드 문서 매크로가 곧바로 최종 페이로드를 다운로드 받아 실행시킵니다. 스크립트가 공격 과정 중에 사라지는 것이죠.”

공격에 사용되는 서버의 경우 ‘사우스 오일 컴파니(South Oil Company)’라는 곳의 정보부(Information Department) 웹사이트를 노출시키고 있지만, 매우 수상쩍은 모양새라고 체크포인트는 설명한다. “서버 자체는 이라크에 위치해 있고, 어스링크 커뮤니케이션즈 앤 인터넷 서비스(EarthLink Ltd. Communications & Internet Services)란 곳에서 호스팅하고 있습니다. 또한 CAB 파일은 JPEG 파일로 위장하고 있습니다.”

하지만 이번 공격에서 가장 놀라운 건 ‘북한이 러시아를 공격했다’는 것이다. 실제 북한이 러시아를 공격했을까, 아니면 누군가 북한으로 가장해 러시아를 공격한 것일까에 대한 논란이 발생하고 있다. 체크포인트의 경우 북한이 러시아를 공격했다고 보고 있다. “페이로드만이 아니라 전략, 기술, 도구 등 전부 라자루스가 기존에 보여주던 것들입니다. 체크포인트에서는 공격 주체가 북한이라고 믿고 있습니다.”

만약 체크포인트의 주장이 맞는다면 꽤나 흥미로운 지정학적 의문이 생기는 것이라고 볼 수 있다. 북한은 왜 오랜 우방국을 공격한 것일까? 한 가지 가능한 답은 ‘복수’다. 지난 해 한국에서 열린 평창올림픽을 해킹 공격한 것이 처음에는 북한인 것으로 알려졌으나, 한 달 후 카스퍼스키(Kaspersky)가 “누군가 북한으로 위장했다”고 발표한 것이다. 그리고 실제 배후에는 러시아나 중국이 있을 가능성이 높은 것으로 나타났다. 북한 입장에서는 자신에게 누명을 씌우려 했던 러시아가 먼저 우호 관계를 깬 것이나 다름이 없다.

또 다른 시나리오로는 일반 사이버 범죄 갱단이 북한으로 위장했거나, 서방 국가들이 북한과 러시아의 관계를 악화시키기 위해 벌인 일이라는 것이 있다. 하지만 ‘영원한 우방은 없는’ 외교 관계에 있어서 라자루스가 러시아를 공격했다는 게 그리 놀라운 일만은 아닐 수도 있다는 의견도 나오고 있다.

3줄 요약
1. 북한의 라자루스 내 블루노로프라는 하위 그룹, 러시아 조직 공격.
2. 여러 단계로 감염을 진행하고, 최종 페이로드인 키마블로 정보 탈취.
3. 우호적 관계인 러시아와 북한, 무슨 일 있는 걸까?
[국제부 문가용 기자(globoan@boannews.com)]

코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
	랜섬웨어
	피싱/스미싱
	스피어피싱(표적 공격)/국가 지원 해킹 공격
	디도스 공격
	혹스(사기) 메일
	악성 앱
	해적판 소프트웨어
	기타(댓글로)