악성프로그램 ‘유령 쥐(Ghost Rat)’ 이용...4만여건 중요 문서 해킹
[보안뉴스 김태형] 북한이 국내 대기업 전산망의 취약점을 뚫고 들어가 10만대가 넘는 PC의 통제권을 탈취, 사상 최대 규모의 사이버 공격을 준비했던 사실이 드러났다. 경찰청 사이버수사과는 올 1월 북한의 4차 핵실험 직후 사이버테러 관련 첩보 활동을 전개하는 과정에서 이같은 사실을 확인했다고 13일 밝혔다.
▲ 2개 대기업 그룹 전산망 사이버테러 공격 개요도(자료 : 경찰청)
경찰청 사이버수사과에 따르면, 4차 핵실험 직후인 올 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 수사를 진행한 결과 국내 대기업과 공공기관, 정부부처 등 160여 곳에서 사용하는 PC 통합관리망이 뚫린 사실을 확인했다. 이 관리망은 한 민간업체가 제작한 시스템으로, 이를 설치하면 관리자가 원격으로 다수 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트하거나 불필요한 소프트웨어를 삭제할 수 있어 많은 PC를 운용하는 기업·기관 등이 사용한다.
북한은 이와 같이 국내 다수의 대기업에서 사용하고 있는 기업 PC통합관리 시스템의 취약점을 발견하고 이를 사용 중인 A, B 그룹사 전산망을 2014년 7월부터 해킹해 전산망 통제권 및 문서를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실을 확인했다.
경찰은 수사기간 동안 33종의 북 악성코드를 확보·분석하고, 16대의 공격서버를 확인했으며, 북한이 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서를 복원했다. 경찰이 복구해 확인한 문서만 4만 2,608건에 이르는 것으로 밝혀졌다. 특히, 북한은 이번 해킹 과정에서 SK네트웍스서비스와 대한항공 등 국내 기업 PC에 저장된 국방관련 자료도 대량 탈취한 것으로 확인됐다.
이 과정에서 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 IP와 동일한 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이루어진 사실을 확인했다. 이와 더불어 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했으며, 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악하여 공격서버로 활용한 사실도 확인했다.
이번 북한 해킹에 사용된 기업 PC관리 시스템의 경우, 관리자 권한이 없어도 원격 접속하여 임의로 파일배포 및 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었으나, 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였던 것으로 드러났다.
경찰은 수사 초기에 이러한 취약점을 발견하고 해당 제품을 제작한 업체와 이를 사용하고 있던 160여 개 기관·업체 및 피해 그룹에 즉시 통보하여 취약점을 보완토록 조치했고 각 피해 그룹사와 유관기관 등과 공동 대응팀을 구성해 신속하게 피해를 복구하면서 추가 공격의 여지를 차단했다.
더불어 북한이 이번 범행에 이용한 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 북한이 탈취해간 문서 42,608건(방위산업 관련 정보 등 40,187건, 통신설비 등 관련 자료 2,421건)을 확인하고 유출 문서에 대한 정보를 피해그룹사와 관계당국에 통보해 추가 피해방지 조치 및 적절한 후속조치를 취하도록 요청했다.
경찰은 “북한이 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비 작업을 하고 있다는 사실이 드러났으며 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버와 PC통제권을 탈취한 상태에서도 즉시 공격하지 않고, 이를 은닉시켜 둔 채 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실을 확인했다”면서 “이는 북한이 다수의 사이버테러 대상을 폭넓게 확보한 후, 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업 및 군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다”고 밝혔다.
또한 A, B그룹사의 많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 것으로 드러나 국가 기간사업이나 군 관련 사업을 맡고 있는 대기업이 사이버테러의 표적이 될 경우, 그 피해가 해당 기업에만 미치지 않는다는 점을 감안할 때 시스템 보안이 강화되도록 관련 정보를 해당 업체에 제공했다.
이에 대해 경찰청 사이버안전국은 북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획이라고 밝혔다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 북한이 국내 대기업 전산망의 취약점을 뚫고 들어가 10만대가 넘는 PC의 통제권을 탈취, 사상 최대 규모의 사이버 공격을 준비했던 사실이 드러났다. 경찰청 사이버수사과는 올 1월 북한의 4차 핵실험 직후 사이버테러 관련 첩보 활동을 전개하는 과정에서 이같은 사실을 확인했다고 13일 밝혔다.
▲ 2개 대기업 그룹 전산망 사이버테러 공격 개요도(자료 : 경찰청)
경찰청 사이버수사과에 따르면, 4차 핵실험 직후인 올 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 수사를 진행한 결과 국내 대기업과 공공기관, 정부부처 등 160여 곳에서 사용하는 PC 통합관리망이 뚫린 사실을 확인했다. 이 관리망은 한 민간업체가 제작한 시스템으로, 이를 설치하면 관리자가 원격으로 다수 PC를 관리하면서 소프트웨어를 일괄적으로 업데이트하거나 불필요한 소프트웨어를 삭제할 수 있어 많은 PC를 운용하는 기업·기관 등이 사용한다.
북한은 이와 같이 국내 다수의 대기업에서 사용하고 있는 기업 PC통합관리 시스템의 취약점을 발견하고 이를 사용 중인 A, B 그룹사 전산망을 2014년 7월부터 해킹해 전산망 통제권 및 문서를 탈취한 후 전산망 마비 공격 등을 준비해 온 사실을 확인했다.
경찰은 수사기간 동안 33종의 북 악성코드를 확보·분석하고, 16대의 공격서버를 확인했으며, 북한이 피해그룹사의 문서를 탈취한 후 삭제한 흔적을 발견해 유출된 문서를 복원했다. 경찰이 복구해 확인한 문서만 4만 2,608건에 이르는 것으로 밝혀졌다. 특히, 북한은 이번 해킹 과정에서 SK네트웍스서비스와 대한항공 등 국내 기업 PC에 저장된 국방관련 자료도 대량 탈취한 것으로 확인됐다.
이 과정에서 지난 2013년 ‘3.20 방송·금융 전산망 사이버테러’의 공격 IP와 동일한 북한 평양 류경동 소재 IP에서 이들 기업을 대상으로 사이버테러 준비, 업무용 파일 탈취 등 행위가 이루어진 사실을 확인했다. 이와 더불어 북한은 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작했으며, 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악하여 공격서버로 활용한 사실도 확인했다.
이번 북한 해킹에 사용된 기업 PC관리 시스템의 경우, 관리자 권한이 없어도 원격 접속하여 임의로 파일배포 및 원격제어를 할 수 있는 치명적인 미인증 우회 취약점이 있었으나, 해당 업체에서는 이러한 취약점을 인지하지 못한 상태였던 것으로 드러났다.
경찰은 수사 초기에 이러한 취약점을 발견하고 해당 제품을 제작한 업체와 이를 사용하고 있던 160여 개 기관·업체 및 피해 그룹에 즉시 통보하여 취약점을 보완토록 조치했고 각 피해 그룹사와 유관기관 등과 공동 대응팀을 구성해 신속하게 피해를 복구하면서 추가 공격의 여지를 차단했다.
더불어 북한이 이번 범행에 이용한 공격서버에 대한 디지털포렌식(전자증거 분석을 통한 자료 복원)을 통해 북한이 탈취해간 문서 42,608건(방위산업 관련 정보 등 40,187건, 통신설비 등 관련 자료 2,421건)을 확인하고 유출 문서에 대한 정보를 피해그룹사와 관계당국에 통보해 추가 피해방지 조치 및 적절한 후속조치를 취하도록 요청했다.
경찰은 “북한이 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비 작업을 하고 있다는 사실이 드러났으며 일부 그룹사에 대해 사이버테러를 할 수 있는 수준의 서버와 PC통제권을 탈취한 상태에서도 즉시 공격하지 않고, 이를 은닉시켜 둔 채 또 다른 사이버테러 공격 대상을 확보하기 위해 지속적으로 해킹을 시도해 온 사실을 확인했다”면서 “이는 북한이 다수의 사이버테러 대상을 폭넓게 확보한 후, 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나, 산업 및 군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높은 것으로 분석된다”고 밝혔다.
또한 A, B그룹사의 많은 자료 중 방위산업 자료나 사이버테러에 유용한 네트워크 전산 자료를 중심으로 탈취한 것으로 드러나 국가 기간사업이나 군 관련 사업을 맡고 있는 대기업이 사이버테러의 표적이 될 경우, 그 피해가 해당 기업에만 미치지 않는다는 점을 감안할 때 시스템 보안이 강화되도록 관련 정보를 해당 업체에 제공했다.
이에 대해 경찰청 사이버안전국은 북의 사이버공격 대상이 주요 기업까지 확대되는 사실에 주목하고 앞으로도 주요 공공기관 및 기업에 대한 북의 사이버 공격을 조기에 탐지하고 사전 차단하는 활동에 주력해 나갈 계획이라고 밝혔다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
