北 라자루스, 방위산업 기업 내부망 침투... 유지보수로 외부망 연결 순간 노렸다

입력 : 2021-02-25 18:18

스피어 피싱으로 최초 접근해 정보를 원격 서버로 추출하는 맞춤형 기법 구축
외부망과 내부망 분리한 시설이지만, 유지보수 시 망 연결한 순간 내부망으로 악성코드 전파

[보안뉴스 이상우 기자] 카스퍼스키 연구진이 북한 사이버공격 조직 라자루스의 새로운 공격을 확인했다고 밝혔다. 라자루스는 지난 2009년부터 본격적인 활동을 시작해 현재까지 매우 왕성하게 공격을 펼치고 있는 조직으로, 여러 분야에 걸친 다수의 공격에 연루돼 있다. 이들은 2020년 초부터 ThreatNeedle이라는 백도어로 방위산업을 노리고 있으며, 이 후 다양한 툴과 명령을 통해 내부망 이동을 통해 민감한 정보를 수집한다.


ThreatNeedle은 공격자에게 다양한 기능을 제공하며 추가적인 툴과 명령을 통해 내부망 이동 후 기밀정보를 수집한다. 최초 감염은 스피어피싱을 통해 발생한다. 공격 대상은 악성 Word 첨부파일 또는 첨부파일 링크가 포함된 이메일을 받는다. 공격자는 공격 대상이 관심있을 만한 주제를 이용하며 실제로 유명한 의료기관을 가장해 코로나19 관련 긴급 업데이트라는 주제를 사용한 경우도 확인됐다.

악성 문서를 열면 악성코드가 생성되며, 다음 감염 단계가 진행된다. 이 공격에 사용된 ThreatNeedle 악성코드는 Manuscrypt로 알려진 악성코드군에 속한다. 이 악성코드군은 라자루스 조직의 소유이며 과거 암호화폐 기업을 공격한 전력이 있다. ThreatNeedle이 설치되면 공격 대상의 장치를 완전히 제어할 수 있다. 즉, 파일 조작은 물론 수신된 명령의 실행에 이르기까지, 모든 작업이 가능해지는 것이다.

피해를 입은 기업은 사무실의 외부망(인터넷)과 공장의 내부망(인트라넷)분리를 통해 중요한 정보를 지키고 있었으나, 공격자에게 의해 해당 보안시스템이 무너져 버렸다. 기업 정책에 따르면 기본적으로 이 두 네트워크 간에는 정보가 전송되어서는 안 되지만, 관리자가 시스템 유지보수를 위해 내부망과 외부망을 연결하게 됐다. 라자루스는 이 부분을 노려 관리자 워크스테이션 제어권을 확보한 후 악성 게이트웨이를 설정하여 접근이 제한된 네트워크를 공격하고 기밀 데이터를 수집 및 탈취 할 수 있었다.

카스퍼스키 글로벌 위협 정보 분석 팀(GReAT) 박성수 선임 보안연구원은 “2020년 한해 가장 활동적인 공격조직은 라자루스였으며 이러한 추세가 앞으로도 유지될 전망이다. 실제로 이미 올해 1월 구글의 위협정보 분석팀은 라자루스가 보안연구원을 대상으로 이와 동일한 백도어를 사용한 것이 발견되었다고 보고했다. 카스퍼스키는 ThreatNeedle 공격이 앞으로 더욱 증가할 것으로 예상해 이를 예의주시하고 있다”고 말했다.

또한, “라자루스는 상당히 교묘하다. 이 조직은 분리된 네트워크 침입에 성공했을 뿐만 아니라, 광범위한 연구를 수행하여 효과적인 고도의 맞춤형 스피어피싱 이메일을 생성하고 탈취한 정보를 원격 서버로 추출해내는 맞춤 도구를 구축했다. 아직도 많은 기업이 원격근무를 실시하고 있어 취약성이 높은 상황이므로, 조직은 이러한 유형의 지능형 공격에 대비해 보안 예방조치를 더욱 강화해야 한다”고 덧붙였다.

ThreatNeedle과 같은 공격으로부터 조직을 보호하기 위해 카스퍼스키 전문가는 6가지 조치사항을 권고했다.

①다수의 표적형 공격이 피싱 또는 다른 사회공학적 기법으로 시작되므로 직원들에게 기본적인 사이버 보안 예방 교육을 실시한다.
②운영 기술(OT) 또는 중요 인프라를 갖춘 기업이라면 이를 기업 네트워크와 분리해야 한다. 또는 무단 연결이 이루어지지 않도록 유의해야 한다.
③직원들이 사이버보안 정책을 파악하고 이를 준수하도록 한다.
④SOC 팀에게 최신 위협 인텔리전스(TI)에 대한 접근 권한을 제공한다. Kaspersky Threat Intelligence Portal은 카스퍼스키 TI를 이용할 수 있는 단일 접근 지점으로, 카스퍼스키에서 20년 넘게 수집한 사이버 공격 데이터와 분석 정보를 제공한다.
⑤네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 Kaspersky Anti Targeted Attack Platform과 같은 비즈니스용 보안 솔루션을 구축한다.
⑥OT 네트워크 트래픽의 모니터링, 분석, 위협 탐지를 지원하는 Kaspersky Industrial CyberSecurity와 같은 산업 노드 및 네트워크 전용 솔루션 구축을 권장한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이상우기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...