.jpg)
금융보안원 관련 보고서 입수
[보안뉴스 조재호 기자] 북한 혹은 중국을 배후로 한 해커 조직이 대한민국 주요 정부 및 군 기관과 통신사에 해킹 공격을 가했다. 이는 최근 미국 비영리 단체 디도시크릿츠(DDoSecrets)이 해킹 조직에서 빼낸 파일과 데이터를 기반으로 작성한 보고서 ‘APT Down: The North Korea Files’를 통해 알려졌다.
지난주 미국에서 열린 세계 최대 해킹 대회 데프콘 현장에서 배포된 계간지 ‘프랙’(Phrack) 40주년 기념호에도 실린 이 보고서엔 ‘김수키’로 추정되는 북한 해커의 공격 흔적과 사용된 코드와 도구, 해킹 그룹 추정 근거 등의 내용이 담겼다.
<보안뉴스>는 단독 입수한 금융보안원 ‘유명 해킹 잡지(Phrack)에 공개된 북한 해킹 관련 위협 분석’ 등 자료를 바탕으로 이들 위협 집단이 어떻게 대한민국을 공격했는지 꼼꼼히 살폈다.
▲APT Down: The North Korea Files 보고서 삽화 이미지 [자료: 보고서 캡처]
방첩사·외교부·행안부·통신사사 등 광범위한 공격 흔적으로 남긴 ‘KIM’
이번 보고서는 6월 10일 KIM으로 명명된 공격자의 가상 워크스테이션과 사설 서버에 저장된 자료를 기반으로 작성됐다. 공격 흔적이 남아있는 기관으로는 국군방첩사령부와 검찰, 외교부, 행정안전부, 통신사 등이 있다.
방첩사와 관련해선 공식 이메일 계정 @dcc.mil.kr을 겨냥한 ‘스피어피싱’ 메일 발송 내역이, 외교부에 대해선 현재 사용하지 않는 이메일 플랫폼 ‘깨비메일’ 관련 네트워크 접속 정보가 확인됐다. 행안부는 정부 내부망에서만 접근할 수 있는 메신저인 ‘온톡’ 관련 로그 파일 노출이 확인됐다.
이 중 외교부 깨비메일은 2019년 이후 기술지원이 종료된 서비스라, 장기 침투 혹은 기관 내부 저장소 유출 가능성도 우려된다.
통신사들은 원격 제어 서비스 시스템 관련 인증서와 암호키가 탈취되거나 내부 서버에 쓰이는 계정과 비밀번호를 저장한 파일이 유출되면서 계정 정보가 대량 유출된 정황이 발견됐다. 네이버와 카카오 같은 포털 사이트에 대한 기록도 일부 있는 것으로 파악된다.
▲프랙 보고서가 지적한 김수키 추정 그룹의 국내 기관 공격 흔적 [자료: 금보원]
국정원은 이번 보고서에 언급된 정부 기관과 통신사에 관련 내용을 전달하고 예방 및 사후 조치를 진행했다고 알려졌다. 한국인터넷진흥원(KISA)도 내용을 공유받아 긴급 조치를 진행했다고 밝혔다.
톰켓·루트롯·부시파이어 등 정교한 침투 기법 활용한 KIM의 정체는 북한? 혹은 중국?
KIM은 다양한 악성코드와 침투 도구를 활용했다. 보고서에선 원격 커널 백도어인 ‘톰캣’(Tomcat)과 이반티 VPN 장비의 취약점을 악용한 웹셀 악성코드 ‘루트룻’(RootRot), 프록시를 우회하는 ‘코발트 스트라이크’(Cobalt Strike), ‘부시파이어’(Bushfire) 익스플로잇 등이 언급됐다.
피싱 웹사이트를 원격에서 관리하는 인터페이스 코드(generator.php)와 보안 회사의 탐지 회피 코드(config.php)도 활용했다.
이들의 정체에 대해 보고서는 ‘KIM은 중국인?’이라는 질문과 함께 몇가지 가능성을 다뤘다. 기본적으로 보고서는 KIM을 김수키로 추정하고 있다. 공격 패턴이나 IP 인프라, 시스템 환경설정의 한국어, 평양시각 기준 오전 9시부터 오후 5시까지 활동하는 패턴 등 때문이다.
하지만 한글-중국어 번역 활용이나 코드 내 중국어 주석, 중국 국경일에 휴식을 취한 점 등을 보아 중국 해킹 그룹일 가능성도 있다. 일부 전문가들은 북한과 중국 간 느슨한 연대 가능성도 제기했다.
이번 보고서 관련 보안업계 전문가는 “전체적 증적자료를 봤을 때, 침해의 신빙성은 상당한 것으로 보인다”며 “최근 SKT와 예스24, SGI서울보증 등 사고가 지속적으로 발생하고 있는데, 국가 단위의 보안 조치와 함께 이를 관리할 컨트롤타워 구축이 필요해 보인다”고 말했다. 이어 “기존 보안 체계에 대한 제로베이스 점검이 필요할 것”이라고 조언했다.
[조재호 기자(sw@boannews.com)]
[보안뉴스 조재호 기자] 북한 혹은 중국을 배후로 한 해커 조직이 대한민국 주요 정부 및 군 기관과 통신사에 해킹 공격을 가했다. 이는 최근 미국 비영리 단체 디도시크릿츠(DDoSecrets)이 해킹 조직에서 빼낸 파일과 데이터를 기반으로 작성한 보고서 ‘APT Down: The North Korea Files’를 통해 알려졌다.
지난주 미국에서 열린 세계 최대 해킹 대회 데프콘 현장에서 배포된 계간지 ‘프랙’(Phrack) 40주년 기념호에도 실린 이 보고서엔 ‘김수키’로 추정되는 북한 해커의 공격 흔적과 사용된 코드와 도구, 해킹 그룹 추정 근거 등의 내용이 담겼다.
<보안뉴스>는 단독 입수한 금융보안원 ‘유명 해킹 잡지(Phrack)에 공개된 북한 해킹 관련 위협 분석’ 등 자료를 바탕으로 이들 위협 집단이 어떻게 대한민국을 공격했는지 꼼꼼히 살폈다.
▲APT Down: The North Korea Files 보고서 삽화 이미지 [자료: 보고서 캡처]
방첩사·외교부·행안부·통신사사 등 광범위한 공격 흔적으로 남긴 ‘KIM’
이번 보고서는 6월 10일 KIM으로 명명된 공격자의 가상 워크스테이션과 사설 서버에 저장된 자료를 기반으로 작성됐다. 공격 흔적이 남아있는 기관으로는 국군방첩사령부와 검찰, 외교부, 행정안전부, 통신사 등이 있다.
방첩사와 관련해선 공식 이메일 계정 @dcc.mil.kr을 겨냥한 ‘스피어피싱’ 메일 발송 내역이, 외교부에 대해선 현재 사용하지 않는 이메일 플랫폼 ‘깨비메일’ 관련 네트워크 접속 정보가 확인됐다. 행안부는 정부 내부망에서만 접근할 수 있는 메신저인 ‘온톡’ 관련 로그 파일 노출이 확인됐다.
이 중 외교부 깨비메일은 2019년 이후 기술지원이 종료된 서비스라, 장기 침투 혹은 기관 내부 저장소 유출 가능성도 우려된다.
통신사들은 원격 제어 서비스 시스템 관련 인증서와 암호키가 탈취되거나 내부 서버에 쓰이는 계정과 비밀번호를 저장한 파일이 유출되면서 계정 정보가 대량 유출된 정황이 발견됐다. 네이버와 카카오 같은 포털 사이트에 대한 기록도 일부 있는 것으로 파악된다.
▲프랙 보고서가 지적한 김수키 추정 그룹의 국내 기관 공격 흔적 [자료: 금보원]
국정원은 이번 보고서에 언급된 정부 기관과 통신사에 관련 내용을 전달하고 예방 및 사후 조치를 진행했다고 알려졌다. 한국인터넷진흥원(KISA)도 내용을 공유받아 긴급 조치를 진행했다고 밝혔다.
톰켓·루트롯·부시파이어 등 정교한 침투 기법 활용한 KIM의 정체는 북한? 혹은 중국?
KIM은 다양한 악성코드와 침투 도구를 활용했다. 보고서에선 원격 커널 백도어인 ‘톰캣’(Tomcat)과 이반티 VPN 장비의 취약점을 악용한 웹셀 악성코드 ‘루트룻’(RootRot), 프록시를 우회하는 ‘코발트 스트라이크’(Cobalt Strike), ‘부시파이어’(Bushfire) 익스플로잇 등이 언급됐다.
피싱 웹사이트를 원격에서 관리하는 인터페이스 코드(generator.php)와 보안 회사의 탐지 회피 코드(config.php)도 활용했다.
이들의 정체에 대해 보고서는 ‘KIM은 중국인?’이라는 질문과 함께 몇가지 가능성을 다뤘다. 기본적으로 보고서는 KIM을 김수키로 추정하고 있다. 공격 패턴이나 IP 인프라, 시스템 환경설정의 한국어, 평양시각 기준 오전 9시부터 오후 5시까지 활동하는 패턴 등 때문이다.
하지만 한글-중국어 번역 활용이나 코드 내 중국어 주석, 중국 국경일에 휴식을 취한 점 등을 보아 중국 해킹 그룹일 가능성도 있다. 일부 전문가들은 북한과 중국 간 느슨한 연대 가능성도 제기했다.
이번 보고서 관련 보안업계 전문가는 “전체적 증적자료를 봤을 때, 침해의 신빙성은 상당한 것으로 보인다”며 “최근 SKT와 예스24, SGI서울보증 등 사고가 지속적으로 발생하고 있는데, 국가 단위의 보안 조치와 함께 이를 관리할 컨트롤타워 구축이 필요해 보인다”고 말했다. 이어 “기존 보안 체계에 대한 제로베이스 점검이 필요할 것”이라고 조언했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)