Home > 전체기사

구글, “북한의 공격자들, 보안 커뮤니티에 녹아들려고 부단히 노력”

  |  입력 : 2021-01-27 12:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
초년의 보안 전문가들에게 해 주는 조언 중 ‘커뮤니티 활동을 통해 선배들과 친해지라’가 자주 등장한다. 북한의 해커들이 이 조언을 진짜로 실천했다. 물론 순수한 마음에서는 아니었을 것이다. 서방의 보안 전문가들과 친해지려 했던 북한 캠페인의 전말이 공개됐다.

[보안뉴스 문가용 기자] 취약점 연구 및 익스플로잇 개발을 전문으로 하는 보안 전문가들을 골라서 노린 거대 소셜 엔지니어링 캠페인이 구글의 위협분석그룹(TAG)에 발각됐다. 공격을 진행한 자들은 북한 정부의 지원을 받는 해킹 단체라고 한다.

[이미지 = utoimage]


구글 TAG는 APT 단체들을 추적하는 조직으로, 지난 수개월 동안 상기한 북한의 캠페인을 뒤좇아 왔다. TAG의 보안 전문가 아담 위드만(Adam Weidemann)은 “공격자들이 여러 가지 수단을 통해 보안 전문가들을 정교하게 표적 삼아 공격했고, 이러한 행위가 각종 소셜미디어 플랫폼에서 발견됐다”고 자사 블로그를 통해 밝혔다.

북한 해커들이 세계 곳곳의 보안 전문가들에게 접근하기 위해 활용한 플랫폼은 트위터, 링크드인, 텔레그램, 디스코드, 키베이스라고 한다. 이메일도 사용됐다. 공격자들은 여러 개의 가자 프로파일을 만들고, 이를 기반 삼아 익스플로잇 영상을 올리거나, 다른 보안 전문가들의 말을 리트윗하는 등 ‘보안 전문가처럼’ 활동하기 시작했다.

보안 연구자의 것으로 보이는 가짜 블로그도 개설했다. 이를 통해 공격 표적이 된 보안 전문가들의 신뢰를 얻었다고 한다. 뿐만 아니라 이 블로그를 통해 취약점 분석 및 연구 자료를 공유하기도 했다. 특히 블로그 운영자만이 아니라 방문자도 게시글을 남길 수 있게 해두어 ‘취약점 연구’를 주제로 활발한 교류를 이끌어내려고 시도한 점이 눈에 띈다.

초반 소통 단계를 넘어서면 공격자들은 표적이 된 전문가들에게 보다 적극적으로 접근하기 시작했다. 공동으로 연구를 진행해보지 않겠느냐고 제안을 한 것이다. 여기에 응할 경우 해커들은 피해자들에게 비주얼 스튜디오 프로젝트 한 개를 전송했다. 취약점 익스플로잇을 위한 소스코드가 들어있다면서 말이다. 문제는 여기에 포함되어 이는 DLL 파일이다. 이 DLL은 백도어로, 피해자의 시스템에 탑재된 뒤 공격자의 C&C 서버와 통신하는 기능을 가지고 있었다.

감염된 파일을 직접 전달하지 않고, 악성 링크를 전송하는 경우도 있었다. 링크를 타고 들어가 연구 자료를 평가해 달라는 부탁과 함께였다. 이를 클릭할 경우 악성 서비스가 피해자의 시스템에 설치되고, 메모리 내에서 실행되는 백도어도 설치된다. 이 백도어는 공격자의 C&C 서버와 연결된다. 피해자가 윈도 10과 크롬을 최신화 한 상태였는데도 이 공격은 성공했다고 한다.

보안 커뮤니티에 섞여들다
소셜 엔지니어링 공격 자체야 하나도 새로울 것이 없는 기법이다. 하지만 이번 캠페인에서 북한 해커들이 피해자들과 신뢰 관계를 쌓기 위해 꽤나 많은 자원을 투자했다는 건 눈여겨볼 만하다고 보안 업체 드라고스(Dragos)의 레슬리 카하트(Lesley Carhart)는 설명한다. “관계 형성을 위해 정말 많은 노력을 기울였더군요. 서방의 보안 전문가 커뮤니티에 들어가려는 이들의 의도가 진정성 있게 보일 정도였습니다.”

카하트는 “보안 커뮤니티에 일단 발을 들여놓기만 하면 공격자로서는 유리한 고지를 선점하게 되는 것”이라고 설명한다. “이를 위해 공개된 익스플로잇 영상을 만들어 공유하기도 했다는 점이 놀랍습니다. 물론 해당 익스플로잇들이 정말 제대로 된 것들인지는 하나하나 검사를 해봐야 하겠지만요.” 구글 TAG는 영상 중 하나는 가짜인 것으로 분석됐다고 발표했다. 이 영상에는 이미 ‘가짜’라는 내용의 댓글들이 달렸지만 공격자들은 아랑곳하지 않고 영상이 진짜 익스플로잇을 시연하는 것이라고 주장했다.

이것은 시스템에 대한 공격이다
카하트는 “보안 전문가들이 구축해 놓은 시스템 전체를 뒤흔드는 충격적 사건”이라고 말한다. “특히나 취약점 연구를 전문으로 하는 보안 전문가들은 협업을 자주 합니다. 회사나 국가라는 경계를 넘나들며 공동으로 연구를 진행하죠. 여기에는 단순 취약점 분석가가 아니라 화이트해커와 블랙해커, 미디어까지 참여할 때가 많습니다. 그래야 공격자들의 계획보다 앞서갈 수 있으니까요. 그래서 보안 커뮤니티는 대체적으로 전문가들과의 의견 교류와 공동 작업에 익숙한 편입니다. 북한 공격자들이 이를 파고든 것이죠.”

이번 공격에 모든 보안 전문가들이 속은 건 아니다. 진작부터 의심을 해 온 사람들도 존재한다. 구사하는 영어가 이상했다거나, 보안 전문가들끼리 지키는 선을 넘는 경우가 종종 있었다는 증언이 나오고 있다. 카하트도 “어색한 영어를 구사하며 공격적으로 접근했으니 의심을 살만 했다”고 설명한다. 이런 사람들은 공격자가 보내 준 파일이나 링크를 가상 기계에서 열거나 클릭했다고 한다.

아직 TAG나 카하트는 공격자들의 최종 목표가 무엇이었는지 정확히 알지 못하고 있다. 하지만 보안 전문가들의 장비들을 침해하려 했다는 것 자체로도 많은 이유를 추측할 수 있다고 한다. “자신들이 몰랐던 취약점 및 익스플로잇 정보를 원했을 수도 있고, 취약점 평가 자료를 가져가고 싶었을 수도 있습니다. 아니면 보안 전문가를 서드파티로 활용해 다른 조직들에 침투하려는 계획이 있었을 수도 있습니다. 뭐가 됐든 공격을 유리하게 이끄는 것들입니다.”

구글의 TAG는 해당 캠페인의 배후에 북한 정부가 있을 것으로 보고 있다. 구글 외 다른 보안 전문가들에게서도 비슷한 의견이 나오고 있다. 만약 북한 정부가 계획하고 실행한 공작이 맞는다면 돈을 노리고 사이버 공격을 해왔던 북한 정부의 방향성이 조금은 바뀌었다고도 볼 수 있다. 물론 정확한 결론이 나온 건 아직 아니다.

3줄 요약
1. 북한의 공격자들, 소셜미디어 통해 보안 전문가들에게 접근.
2. 각종 연구 공동으로 진행하자고 제안한 뒤 백도어 설치하려고 함.
3. 협업이 자연스럽게 이뤄지는 보안 전문가들 사이의 문화를 노린 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비