[이슈분석] 北 김수키의 서울대병원 해킹, 카이스트 공격과의 연관성 어떻게 확인했나

입력 : 2021-07-15 15:16

김수키가 사용한 IP와 도메인 연결하면 ‘서울대병원-카이스트-CISA 지목 도메인’ 확인 가능

[보안뉴스 원병철 기자] 서울대병원을 노린 공격이 북한 추정 해커조직 김수키(Kimsuky)가 사용하던 IP와 도메인 주소를 이용해 벌어졌으며, 이는 지난 10월 발생(알려진 것은 12월)한 카이스트(KAIST) 공격에 사용된 IP와 도메인과 연관성이 있는 것으로 확인됐다.


우선, 연관성을 확인하기 위해서는 IP 주소와 도메인의 관계를 이해해야 한다. 인터넷에 연결하기 위해 부여되는 IP 주소는 총 12개의 숫자로 이뤄져 있다. 예를 들면, ‘123.456.789.123’ 이런 식이다. 그리고 도메인(Domain) 주소는 이 IP 주소를 영문으로 바꿔준 것을 말한다. 즉, 보안뉴스의 IP 주소가 ‘123.456.789.123’이라면 도메인 주소는 ‘boannews[.]com’이 된다. 다만 IP주소는 필요에 따라 여러 개의 도메인 주소를 갖고 있을 수 있으며, 또한 도메인 주소 역시 필요에 따라 다른 IP에 할당할 수 있다. 즉, 1.222.OOO.OOO IP 주소에 ‘boannews[.]com’ 말고도 ‘securityworld[.]com’과 같은 도메인을 설정할 수 있으며, ‘boannews[.]com’ 역시 ‘123.123.OOO.OOO’과 같은 다른 IP 주소에 연결될 수 있다는 말이다.

서울대병원과 카이스트 공격 연관성 확인
이번 서울대학교병원 공격에 사용된 IP는 총 3개(△31.172.80.100 △210.16.120.251 △27.102.112.44)이며, 각 IP에는 여러 개의 도메인이 할당되어 있다. 그리고 지난 2020년 11월 발생한 카이스트 공격에 사용된 IP는 5개(△185.224.138.29 △185.224.137.164 △143.248.155.65 △185.224.138.29 △216.189.159.36)다.

물론 이 8개의 IP는 서로 다르다. 하지만 이 IP에 할당된 도메인을 살펴보면 연관성이 보인다. 우선, 서울대학교 병원을 공격한 IP 210.16.120.251에 할당된 도메인에는 ‘app.gommi.ml’이라는 도메인 주소(2021년 6월 30일 할당)가 있다. 그런데 이 도메인은 2020년 10월 카이스트 공격에 사용된 IP 216.189.159.36에 2020년 11월 16일 할당된 적이 있다. 이는 이번 서울대학교병원 해킹과 카이스트 해킹에 사용된 IP와 도메인이 서로 연관성이 있다는 것을 증명하는 것이다.


더욱이 카이스트 해킹에 사용된 IP 216.189.159.36의 도메인 중 ‘love.krnc.ga’는 IP 27.102.107.221에 2020년 8월 등록된 적이 있는데, 이 IP에 등록된 도메인 ‘jonga.mi’나 ‘nid.naver.onektx.com’ 등은 미국 CISA가 2020년 11월 북한 김수키의 공격에 사용된 도메인이라고 발표한 적이 있는 도메인이다. 이로써 이번 서울대학교병원 해킹과 김수키와의 연관성이 확인된 것이다.


이렇게 IP와 도메인을 추적하다보면 그동안 김수키가 어떻게 공격을 해왔는지 알 수 있다. 실제로 앞서 언급한 ‘app.gommi.ml’ 도메인을 추적해 IP 104.128.239.70을 살펴보면, ‘snub(서울대학교 병원 약자)’를 사칭한 도메인을 3개(△mail.snubh.r-e.kr △smtp.snu-h.ml △mail.snuh.r-e.kr)나 찾아볼 수 있다. 특히 메일서버 도메인을 사칭한 것으로 보아 병원 관계자를 노린 것이 아닌지 의심된다.

특히 5월에는 서울대병원뿐만 아니라 여러 건의 공격이 진행됐음을 알 수 있다. IP 104.128.239.70 도메인을 살펴보면, △한국국방연구원(KIDA)을 사칭한 ‘ms.kiida.cf’ △이화여자대학교(ewha)를 사칭한 ‘mail.ewah-ac.ml’ △네이트온을 사칭한 ‘bo.nate-on.ml’ 등의 도메인이 확인된다. 또한, IP 216.189.159.36의 2020년 10월 도메인을 살펴보면, △한국항공우주연구원(kari)을 사칭한 ‘webmail.kari.gq’와 △비영리센터 ‘한국NVC센터’를 사칭한 ‘love-krnvc.ga’, ‘krnvc.ga’ △다음을 사칭한 ‘logins.daumi.club’ 등도 확인할 수 있다.

한편, 하태경 의원은 15일 서울대병원은 지난 6월 11일 외부 침입이 이뤄졌으며, 유휴서버 1대와 업무용 PC 62대가 해킹되어 환자 정보 6,969건이 유출됐다고 밝혔다. 아울러 당초 서울대병원이 밝힌 것과 달리 진단명과 방문기록, 검사명과 검사결과, 의학사진 등 민감한 의료 정보도 포함됐다고 지적했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...