북한 해커그룹 김수키의 정체와 그들이 제작한 안드로이드 멀웨어 분석 결과 공유
Ransom Cartel, REvil의 부활인가? 유명 랜섬웨어 조직들에 대한 카피캣 현상 조명
소프트웨어 공급망 보안의 중요성과 SBOM 필요성 논의
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 20화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요? 보안뉴스의 권준 편집국장입니다.
■ 곽경주 이사 안녕하세요? S2W 곽경주입니다.
□ 권준 국장 이제는 진짜 바야흐로 추운 겨울이 오고 있는 것 같습니다. 특히, 북한과의 관계도 급속히 냉각되고 있잖아요. 최근 곽 이사님 소속 회사인 S2W에서 북한의 ‘김수키’ 해커 그룹이 ‘Android Malware’를 활용해서 한국을 공격하고 있다는 보고서를 발표하셨더라고요. 잠깐 소개를 해주신다면?
[김수키 Android Malware]
■ 곽경주 이사 네, 알겠습니다. 이번에 저희가 분석한 것은 세 가지 종류가 있는데요, 첫 번째로 ‘FastFire’ 그다음에 ‘FastViewer’ ‘FastSpy’ 이렇게 있어요. 일단 이들이 악성 앱을 만들 때 그 안에 고유한 패키지 명이라고 부르는 것이 있는데, 그곳에 ‘FastSecure’라는 말을 써놨어요. 그래서 그 이름에서 Fast를 땄고요.
FastFire 같은 경우에는 구글에 백엔드 개발 플랫폼 중에 ‘Firebase’라는 것이 있어요, 이들이 이것을 이용해서 악성 앱을 만들었더라고요. 그래서 패키지 명인 FastSecure와 그리고 인프라로 사용한 Firebase, 이 두 개를 합쳐서 PastFire라고 했고요.
그리고 FastViewer 같은 경우에는 ‘한글과컴퓨터’에서 만든 모바일용 뷰어가 있는데 그 뷰어를 사칭해서 (악성) 앱을 만들고 있었거든요. 그래서 거기에서 따와서 FastViewer라고 했습니다.
마지막으로 FastSpy 같은 경우에는 ‘AndroSpy’라고 오픈소스로 공개되어 있는 안드로이드 원격 제어용 도구가 있거든요. 그 코드를 좀 수정해서 썼더라고요. 그래서 이제 FastSpy라고 했는데요.
실제로 피해 규모 자체는 저희가 (3가지 악성 앱이) 본격적으로 유포되기 전에 탐지를 한 것이라서 아직까지는 그렇게 크지 않은데요. 이들이 지금부터 안드로이드 대상으로 하는 악성 행위를 시작하려고 하는 듯한 정황이 보여서 그것을 빠르게 저희가 보고서를 작성해서 내보낸 겁니다.
▲[곽경주의 다크웹 인사이드] 20화 시작 화면[이미지=보안뉴스]
[북한 해커 조직 ‘김수키’]
□ 권준 국장 북한의 김수키 그룹 같은 경우에는 일반인들도 보안에 대해서 조금 관심 있는 분들은 한 번씩은 다 들어봤을 것 같아요. 김수키가 도대체 어떤 조직인지? 그리고 그동안 우리나라를 대상으로 해서 공격들을 많이 수행했잖아요. 그 중 몇 가지 대표적인 공격만 소개해 주신다면?
■ 곽경주 이사 일단 이름이 특이해서... 여자들로 이뤄진 그룹은 아니고요. 이 이름은 ‘Kaspersky(카스퍼스키)’라고 보안 회사가 있는데요. 그곳에서 예전에 분석을 하다가 여러 가지 특징을 따가지고 이름을 김수키라고 짓기 시작했고요.
김수키 같은 경우에는 앞에서도 말씀드렸지만, 주로 정보 수집 활동을 합니다. 우리나라 고위 공무원이라든가 아니면 국방 분야 그 다음에 우리나라 연구기관의 연구자료나 이런 것들을 탈취하기 위해서 활동하는 공격 그룹으로 보면 되는데요. 이러한 활동을 하다가 “해당 기업이나 해당 기관에 들어가야겠다”고 하면 그때부터는 제대로 들어갑니다.
‘제로데이(Zero Day)’를 이용하기도 하고, 메일 시스템 취약점을 실제로 본인들이 직접 찾아서 국가 주요 연구 자료를 탈취해갔던 이슈도 있는데요. 우리나라만 공격하느냐? 그것은 또 아닙니다. 김수키는 미국도 공격을 많이 하고 있고요, 김수키 같은 경우에는 전 방위적으로 정보 수집을 하면서 자국(북한)의 이익이 되는 그런 자료를 빼내어 가고 있어요.
[Ransom Cartel, REvil의 부활!?]
□ 권준 국장 ‘REvil’ 하면 사실 가장 악명을 떨쳤던...
■ 곽경주 이사 유명하죠.
□ 권준 국장 랜섬웨어 조직이었는데 그 이후에 은퇴를 했단 말이죠. 그런데 최근에 등장한 ‘Ransom Cartel’이란 조직이 사용하는 랜섬웨어하고 REvil의 랜섬웨어가 꽤 유사성이 많다라는 것이 알려졌거든요. 이에 대해 이사님은 어떻게 보시는지? 이게 REvil의 부활인 것인지?
■ 곽경주 이사 이번 Ransom Cartel의 경우에는 보고서 작성자가 ‘Palo Alto Unit 42’라고 하는 CTI 그룹이거든요. 이것을 보면 Ransom Cartel이 REvil의 악성코드를 본뜬 것은 맞는 것 같아요. 맞는 거 같은데, 초기 버전의 REvil 코드이고, ‘주요 난독화 코드’라고 해서 핵심 코드들이 있는데, 그런 것은 사용하지 않았거든요. 그런 것으로 봤을 때 이것은 이 코드를 개발한 작성자가 예전에 REvil에 몸담았었던 범죄자로는 보이지만 핵심적인 코드에는 접근하지 못했거나 아주 초기에만 활동했었던 그런 개발자로 보입니다. 이에 (해당) 개발자가 다른 조직으로 옮겨가지고 자기가 가지고 있던 일부 코드를 재사용 한 것으로 보는 것이 맞을 것 같습니다.
[소프트웨어 공급망 보안]
□ 권준 국장 최근에 소프트웨어 공급망 보안, 이게 화두가 되고 있는 것 같아요. 미국에서는 소프트웨어 공급망 공격을 막기 위해서 소프트웨어 물자표 이른바 ‘SBOM’이라고 얘기를 하던데요. 이사님께서는 이 공급망 보안의 중요성에 대해서 어떻게 생각하시고, 잠깐 말씀드렸지만 SBOM, 이러한 소프트웨어 물자표가 소프트웨어 공급망 보안에 도움이 많이 될 수 있는 것인지 설명을 부탁드립니다.
■ 곽경주 이사 우선 공급망 공격이라고 하는 것은 말 그대로 공급망을 타깃으로 공격을 하는 것이거든요. 백신을 설치한다든가 무슨 프로그램을 설치할 때는 해당 회사의 정식 홈페이지에 가서 다운받은 다음에 설치를 하기도 하고요. 그리고 개발자들이나 기업들 같은 경우에는 (소프트웨어) 제품을 만들 때 ‘깃허브(Github)’나 그런 곳에 올라와 있는 오픈소스 도구를 이용해서 그것을 차용해서 코드를 차용해서 만들기도 하잖아요. 이런 부분들에 대한 오염이 일어나서 이제 공격이 일어나는 거예요. 그러니까 사용자들은 이게 악성코드인지 모르고, 정상 사이트에 가서 다운을 받아서 설치를 했는데 알고 보니까 악성코드였던 것이죠.
이런 것들이 이슈가 됐었던 사태들은 최근에 Github Repository가 오염됐던 그런 사태들이 일련의 공급망 공격이라고 보시면 되고요. 그래서 여기서의 시사점은 기업에서 사용하고 있는 오픈소스에 대한 관리를 어떻게 할 것인가? 그 다음에 두 번째로는 공급망에 반영되는 솔루션의 최종 빌드 과정이 안전하게 만들어지고 있는지에 대한 모니터링 체계 이런 것들이 필요하고요. 최종적으로 배포가 되는 과정(에 대한) 모니터링 이런 것들이 돼야 되는데요.
이런 것들을 본인이 사용하는 소프트웨어나 그 코드가 안전한 것인지에 대한 명세표 같은 것이 SBOM인데요. 저희가 음식을 사면 거기에 성분표 같은 게 있잖아요. 그런 것과 같은 형태라고 보시면 될 것 같습니다. SBOM도 취지 자체는 좋습니다, 그런데 이 SBOM을 시작하게 되면 모든 소프트웨어 수 천개, 수 만개가 되는 소프트웨어에 이 SBOM이 붙어야 되는데, 그것을 자동적으로 붙여야겠죠. 사람이 일일이 보면서 할 수는 없는 노릇이고요. 그래서 이것과 관련돼 자동으로 생산해주는 도구, 그리고 이를 관리해 주는 솔루션 등이 필수적으로 필요할 것으로 보입니다.
[최근 한 달간 다크웹 이슈 및 피해 통계]
□ 권준 국장 최근에 이사님이 주목하고 있는 랜섬웨어 조직과 특이 동향 있으면 말씀해 주시겠어요?
■ 곽경주 이사 요즘 범죄 조직 내부에 데이터가 외부에 유출되는 경우가 굉장히 많이 있는데요. ‘얀루오왕(Yanluowang)’이라고 하는 랜섬웨어 조직이 있어요, 이 조직은 글로벌 네트워크 보안 전문업체인 시스코를 해킹했다라고 주장했었고 내부 데이터를 유출시켰었는데요. 시스코에서는 “돈을 주지 않았다. 왜냐하면 나간 데이터가 그렇게 민감하지 않기 때문이다”라고 했는데요. 일단 시스코를 해킹한 그룹으로 유명세를 탄 랜섬웨어 조직이라고 할 수 있습니다.
그리고 랜섬웨어와는 좀 별개지만 최근에 공격 조직들이 카카오 장애 이슈라든가 10.29 참사 관련된 이슈를 악용해 공격을 하기도 했습니다. 카카오 장애까지는 괜찮은데, 이태원은 건드리지 말았어야 하지 않나 그런 생각이 듭니다.
□ 권준 국장 말씀해주신 이슈 외에 피해 통계, 피해 국가들에 대해 간단하게 설명 부탁드립니다. 최근에는 많이 일정하긴 하더라고요.
■ 곽경주 이사 네 맞아요, 거의 일정합니다. 특이 포인트는 여전히 ‘LockBit’이 (공격한) 피해 기업 수는 가장 많긴 한데 많이 줄었습니다. 거의 50% 정도로 줄었고요. 그 다음에 ‘AvosLocker’라는 곳도 많이 활동을 했는데요. 최근에 많이 줄었습니다. 그리고 피해 국가는 단연 미국이 가장 많고요. 그 다음에 이제 (피해) 업권으로 보면 제조업권이 가장 많습니다.
□ 권준 국장 오늘도 좋은 말씀 감사드리고요. 오늘은 이상 마치도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권준 기자(editor@boannews.com)]
Ransom Cartel, REvil의 부활인가? 유명 랜섬웨어 조직들에 대한 카피캣 현상 조명
소프트웨어 공급망 보안의 중요성과 SBOM 필요성 논의
■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 20화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사
□ 권준 국장 안녕하세요? 보안뉴스의 권준 편집국장입니다.
■ 곽경주 이사 안녕하세요? S2W 곽경주입니다.
□ 권준 국장 이제는 진짜 바야흐로 추운 겨울이 오고 있는 것 같습니다. 특히, 북한과의 관계도 급속히 냉각되고 있잖아요. 최근 곽 이사님 소속 회사인 S2W에서 북한의 ‘김수키’ 해커 그룹이 ‘Android Malware’를 활용해서 한국을 공격하고 있다는 보고서를 발표하셨더라고요. 잠깐 소개를 해주신다면?
[김수키 Android Malware]
■ 곽경주 이사 네, 알겠습니다. 이번에 저희가 분석한 것은 세 가지 종류가 있는데요, 첫 번째로 ‘FastFire’ 그다음에 ‘FastViewer’ ‘FastSpy’ 이렇게 있어요. 일단 이들이 악성 앱을 만들 때 그 안에 고유한 패키지 명이라고 부르는 것이 있는데, 그곳에 ‘FastSecure’라는 말을 써놨어요. 그래서 그 이름에서 Fast를 땄고요.
FastFire 같은 경우에는 구글에 백엔드 개발 플랫폼 중에 ‘Firebase’라는 것이 있어요, 이들이 이것을 이용해서 악성 앱을 만들었더라고요. 그래서 패키지 명인 FastSecure와 그리고 인프라로 사용한 Firebase, 이 두 개를 합쳐서 PastFire라고 했고요.
그리고 FastViewer 같은 경우에는 ‘한글과컴퓨터’에서 만든 모바일용 뷰어가 있는데 그 뷰어를 사칭해서 (악성) 앱을 만들고 있었거든요. 그래서 거기에서 따와서 FastViewer라고 했습니다.
마지막으로 FastSpy 같은 경우에는 ‘AndroSpy’라고 오픈소스로 공개되어 있는 안드로이드 원격 제어용 도구가 있거든요. 그 코드를 좀 수정해서 썼더라고요. 그래서 이제 FastSpy라고 했는데요.
실제로 피해 규모 자체는 저희가 (3가지 악성 앱이) 본격적으로 유포되기 전에 탐지를 한 것이라서 아직까지는 그렇게 크지 않은데요. 이들이 지금부터 안드로이드 대상으로 하는 악성 행위를 시작하려고 하는 듯한 정황이 보여서 그것을 빠르게 저희가 보고서를 작성해서 내보낸 겁니다.
▲[곽경주의 다크웹 인사이드] 20화 시작 화면[이미지=보안뉴스]
[북한 해커 조직 ‘김수키’]
□ 권준 국장 북한의 김수키 그룹 같은 경우에는 일반인들도 보안에 대해서 조금 관심 있는 분들은 한 번씩은 다 들어봤을 것 같아요. 김수키가 도대체 어떤 조직인지? 그리고 그동안 우리나라를 대상으로 해서 공격들을 많이 수행했잖아요. 그 중 몇 가지 대표적인 공격만 소개해 주신다면?
■ 곽경주 이사 일단 이름이 특이해서... 여자들로 이뤄진 그룹은 아니고요. 이 이름은 ‘Kaspersky(카스퍼스키)’라고 보안 회사가 있는데요. 그곳에서 예전에 분석을 하다가 여러 가지 특징을 따가지고 이름을 김수키라고 짓기 시작했고요.
김수키 같은 경우에는 앞에서도 말씀드렸지만, 주로 정보 수집 활동을 합니다. 우리나라 고위 공무원이라든가 아니면 국방 분야 그 다음에 우리나라 연구기관의 연구자료나 이런 것들을 탈취하기 위해서 활동하는 공격 그룹으로 보면 되는데요. 이러한 활동을 하다가 “해당 기업이나 해당 기관에 들어가야겠다”고 하면 그때부터는 제대로 들어갑니다.
‘제로데이(Zero Day)’를 이용하기도 하고, 메일 시스템 취약점을 실제로 본인들이 직접 찾아서 국가 주요 연구 자료를 탈취해갔던 이슈도 있는데요. 우리나라만 공격하느냐? 그것은 또 아닙니다. 김수키는 미국도 공격을 많이 하고 있고요, 김수키 같은 경우에는 전 방위적으로 정보 수집을 하면서 자국(북한)의 이익이 되는 그런 자료를 빼내어 가고 있어요.
[Ransom Cartel, REvil의 부활!?]
□ 권준 국장 ‘REvil’ 하면 사실 가장 악명을 떨쳤던...
■ 곽경주 이사 유명하죠.
□ 권준 국장 랜섬웨어 조직이었는데 그 이후에 은퇴를 했단 말이죠. 그런데 최근에 등장한 ‘Ransom Cartel’이란 조직이 사용하는 랜섬웨어하고 REvil의 랜섬웨어가 꽤 유사성이 많다라는 것이 알려졌거든요. 이에 대해 이사님은 어떻게 보시는지? 이게 REvil의 부활인 것인지?
■ 곽경주 이사 이번 Ransom Cartel의 경우에는 보고서 작성자가 ‘Palo Alto Unit 42’라고 하는 CTI 그룹이거든요. 이것을 보면 Ransom Cartel이 REvil의 악성코드를 본뜬 것은 맞는 것 같아요. 맞는 거 같은데, 초기 버전의 REvil 코드이고, ‘주요 난독화 코드’라고 해서 핵심 코드들이 있는데, 그런 것은 사용하지 않았거든요. 그런 것으로 봤을 때 이것은 이 코드를 개발한 작성자가 예전에 REvil에 몸담았었던 범죄자로는 보이지만 핵심적인 코드에는 접근하지 못했거나 아주 초기에만 활동했었던 그런 개발자로 보입니다. 이에 (해당) 개발자가 다른 조직으로 옮겨가지고 자기가 가지고 있던 일부 코드를 재사용 한 것으로 보는 것이 맞을 것 같습니다.
[소프트웨어 공급망 보안]
□ 권준 국장 최근에 소프트웨어 공급망 보안, 이게 화두가 되고 있는 것 같아요. 미국에서는 소프트웨어 공급망 공격을 막기 위해서 소프트웨어 물자표 이른바 ‘SBOM’이라고 얘기를 하던데요. 이사님께서는 이 공급망 보안의 중요성에 대해서 어떻게 생각하시고, 잠깐 말씀드렸지만 SBOM, 이러한 소프트웨어 물자표가 소프트웨어 공급망 보안에 도움이 많이 될 수 있는 것인지 설명을 부탁드립니다.
■ 곽경주 이사 우선 공급망 공격이라고 하는 것은 말 그대로 공급망을 타깃으로 공격을 하는 것이거든요. 백신을 설치한다든가 무슨 프로그램을 설치할 때는 해당 회사의 정식 홈페이지에 가서 다운받은 다음에 설치를 하기도 하고요. 그리고 개발자들이나 기업들 같은 경우에는 (소프트웨어) 제품을 만들 때 ‘깃허브(Github)’나 그런 곳에 올라와 있는 오픈소스 도구를 이용해서 그것을 차용해서 코드를 차용해서 만들기도 하잖아요. 이런 부분들에 대한 오염이 일어나서 이제 공격이 일어나는 거예요. 그러니까 사용자들은 이게 악성코드인지 모르고, 정상 사이트에 가서 다운을 받아서 설치를 했는데 알고 보니까 악성코드였던 것이죠.
이런 것들이 이슈가 됐었던 사태들은 최근에 Github Repository가 오염됐던 그런 사태들이 일련의 공급망 공격이라고 보시면 되고요. 그래서 여기서의 시사점은 기업에서 사용하고 있는 오픈소스에 대한 관리를 어떻게 할 것인가? 그 다음에 두 번째로는 공급망에 반영되는 솔루션의 최종 빌드 과정이 안전하게 만들어지고 있는지에 대한 모니터링 체계 이런 것들이 필요하고요. 최종적으로 배포가 되는 과정(에 대한) 모니터링 이런 것들이 돼야 되는데요.
이런 것들을 본인이 사용하는 소프트웨어나 그 코드가 안전한 것인지에 대한 명세표 같은 것이 SBOM인데요. 저희가 음식을 사면 거기에 성분표 같은 게 있잖아요. 그런 것과 같은 형태라고 보시면 될 것 같습니다. SBOM도 취지 자체는 좋습니다, 그런데 이 SBOM을 시작하게 되면 모든 소프트웨어 수 천개, 수 만개가 되는 소프트웨어에 이 SBOM이 붙어야 되는데, 그것을 자동적으로 붙여야겠죠. 사람이 일일이 보면서 할 수는 없는 노릇이고요. 그래서 이것과 관련돼 자동으로 생산해주는 도구, 그리고 이를 관리해 주는 솔루션 등이 필수적으로 필요할 것으로 보입니다.
[최근 한 달간 다크웹 이슈 및 피해 통계]
□ 권준 국장 최근에 이사님이 주목하고 있는 랜섬웨어 조직과 특이 동향 있으면 말씀해 주시겠어요?
■ 곽경주 이사 요즘 범죄 조직 내부에 데이터가 외부에 유출되는 경우가 굉장히 많이 있는데요. ‘얀루오왕(Yanluowang)’이라고 하는 랜섬웨어 조직이 있어요, 이 조직은 글로벌 네트워크 보안 전문업체인 시스코를 해킹했다라고 주장했었고 내부 데이터를 유출시켰었는데요. 시스코에서는 “돈을 주지 않았다. 왜냐하면 나간 데이터가 그렇게 민감하지 않기 때문이다”라고 했는데요. 일단 시스코를 해킹한 그룹으로 유명세를 탄 랜섬웨어 조직이라고 할 수 있습니다.
그리고 랜섬웨어와는 좀 별개지만 최근에 공격 조직들이 카카오 장애 이슈라든가 10.29 참사 관련된 이슈를 악용해 공격을 하기도 했습니다. 카카오 장애까지는 괜찮은데, 이태원은 건드리지 말았어야 하지 않나 그런 생각이 듭니다.
□ 권준 국장 말씀해주신 이슈 외에 피해 통계, 피해 국가들에 대해 간단하게 설명 부탁드립니다. 최근에는 많이 일정하긴 하더라고요.
■ 곽경주 이사 네 맞아요, 거의 일정합니다. 특이 포인트는 여전히 ‘LockBit’이 (공격한) 피해 기업 수는 가장 많긴 한데 많이 줄었습니다. 거의 50% 정도로 줄었고요. 그 다음에 ‘AvosLocker’라는 곳도 많이 활동을 했는데요. 최근에 많이 줄었습니다. 그리고 피해 국가는 단연 미국이 가장 많고요. 그 다음에 이제 (피해) 업권으로 보면 제조업권이 가장 많습니다.
□ 권준 국장 오늘도 좋은 말씀 감사드리고요. 오늘은 이상 마치도록 하겠습니다. 감사합니다.
■ 곽경주 이사 감사합니다.
[권준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
