금보원, 특정국가가 배경으로 추정되는 위협그룹 분석 보고서 공개
라자루스가 조직 분리해 블루노로프와 안다리엘 만들어진 듯

[보안뉴스 원병철 기자] 한국에서 활동하는 위협그룹에 대한 보고서가 나왔다. 금융보안원은 국내 IT 및 업무환경 특성 등을 사전에 파악하고 이를 이용해 국내를 타깃으로 공격하고 있는 특정 위협그룹에 대한 프로파일링을 최근 3년간 꾸준히 진행하고, 그 결과를 ‘2017 사이버 위협 인텔리전스 보고서’에 담아 공개했다. 그동안 국내에서 활동했던 위협그룹은 3곳으로, 금보원뿐만 아니라 KISA에서도 이와 같이 연구하고 발표한 바 있다.


▲ 라이플 캠페인 타임라인[자료=금보원]

라자루스(Lazarus)·블루노로프(Bluenoroff)·안다리엘(Andariel) 그룹
라자루스 그룹은 글로벌 보안업계에서 명명한 대표적인 위협 그룹으로, 특정국가의 정부가 배경에 있을 것으로 추정되며, 기술력과 조직력을 갖춘 것으로 평가되는 위협 그룹 중 하나다. 최근 라자루스 그룹의 공격에 변화가 나타났는데, 공격 대상 선택 기준이나 악성코드 프로파일링 등을 살펴본 결과, 여러 소그룹으로 분리되어 활동하고 있는 것으로 보인다. 이들 중 왕성한 활동을 보이는 그룹이 글로벌 금융회사에 대한 공격 위주의 블루노로프와 국내를 타깃으로 라이플 캠페인을 진행하고 있는 안다리엘이다.

2016년 2월에 알려진 방글라데시 중앙은행의 SWIFT 부정거래 사고, 폴란드 금융감독원 홈페이지를 통한 워터링홀 공격 등 글로벌 금융회사를 대상으로 진행된 공격에 대해 파이어아이, 시만텍, 카스퍼스키랩, BAE시스템스(British Aerospace Systems) 등에서 라자루스 그룹을 배후로 지목했다. 또한 2017년 4월 카스퍼스키랩은 위에서 언급한 글로벌 금융회사에 대한 공격 배후를 라자루스 그룹과의 연관성을 갖는 새로운 위협 그룹인 블루노로프(Bluenoroff)라고 발표했다.

금융보안원은 최근 국내에서 발생한 일련의 침해사고·시도를 분석하는 과정에서 라자루스와 연관성을 가진 새로운 조직을 발견했고, 그들의 행위를 추적했다. 과거 3.20 사이버테러(Darkseoul)에 이용된 일부 악성코드와 유사점이 확인되긴 했으나 대부분의 악성코드는 새로운 형태였으며, 지난해부터 글로벌 금융회사 및 국내 금융회사 망분리 솔루션 취약점을 이용해 공격한 블루노로프 그룹의 악성코드와도 다른 코드 패턴 및 공격 방식을 가지고 있는 것을 확인했다.

따라서 2014년 전후로 라자루스 그룹이 조직 분리 등을 이유로 TTP(Tactics Techniques Procedure, 공격방식)가 다른 두개의 위협 그룹이 같은 시점에 다른 대상을 공격하고 있는 것으로 판단하였고, 해당 위협 그룹을 안다리엘(Andariel)로 명명했다.

특히, 금융보안원에서는 발견된 악성코드와 C&C 서버 등의 공통점을 근거로 국내에서 발생한 총 8개의 오퍼레이션을 하나의 캠페인으로 판단, ‘라이플 캠페인(Rifle Campaign)’으로 명명하였다. 라이플 캠페인이라 부르는 이유는 이 그룹을 프로파일링할 때 처음 본 샘플에 ‘Rifle’이라는 문자열이 포함됐기 때문이다. 라이플 캠페인의 주요 공격 대상은 금융, 국방, 대기업, 보안 솔루션 제작 회사 등이다.

라이플 캠페인과 관련된 8개의 오퍼레이션에 대한 타임라인을 보면, 이들의 최근 공격의 흐름을 알 수 있다. 또한 라이플 캠페인 연관도를 보면, 오퍼레이션 별 연관성을 확인할 수 있다. 동일한 C&C 서버의 활용과 동일한 트랜스폼(암·복호화, 문자열 변환 등)이 포함된 악성코드의 이용 등이 확인됐으며, 이러한 연관성을 토대로 동일한 공격자의 캠페인으로 확인했다.


▲ 라이플 캠페인 연관도[자료=금보원]

블루노로프와 안다리엘의 공조 및 코드 업데이트
최근 블루노로프와 안다리엘이 국내 금융권 대상 공격시 공조를 하고 있는 듯한 모습이 포착되고 있다. 2016년까지 블루노로프 그룹은 국내를 대상으로 특별한 공격을 수행하지 않았던 반면, 2017년부터는 블루노로프 그룹의 공격이 발견되고 있다. 또한 안다리엘과 블루노로프가 동일한 기업을 대상으로 공격하는 정황도 확인되었다.

주로 글로벌 금융회사를 대상으로 공격을 수행하는 블루노로프가 한글 문서의 취약점을 이용한 악성코드를 생성하고 실행시키는 등의 공격을 수행하는 것으로 보아, 현재 두 개의 그룹이 국내를 타깃으로 공격을 집중하고 있는 것으로 판단된다.

또한, 안다리엘이 최근에 제작 및 유포한 것으로 추정되는 악성코드를 분석한 결과, 고유의 문자 변환 함수 등에 대한 업데이트를 최근에 진행한 것으로 보인다.

악성코드 유포 및 침해사고와 관련된 뉴스는 매일같이 보도 되고 있으며 공격자들은 쉬지 않고 다양한 방식으로 공격하고 있다. 안다리엘, 블루노로프와 같은 APT 공격 조직은 알려지지 않은 취약점을 찾거나 거점을 확보하기 위한 공격을 지속하고 있으며, 기업 및 정부기관 내부에 침투하여 내부 기밀을 탈취하기 위한 악성코드 제작 및 테스트 또한 끊임없이 수행하고 있다.

최근에는 블루노로프와 안다리엘이 동시에 동일한 금융회사를 공격하는 정황이 포착되는 등 해당 위협 그룹들이 금융권역을 타깃으로 공격을 지속적으로 준비 또는 시도하고 있다는 것은 명확한 사실로 보인다.

금융보안원은 안다리엘을 포함해 블루노로프, 라자루스 등 다양한 위협 그룹을 추적하고 분석해, 각 위협 그룹들의 특징적인 공격 방식과 악성코드 패턴, 사용된 취약점 등을 파악하고 데이터베이스화 하고 있다고 밝혔다. 축적된 데이터를 기반으로 작성한 이번 보고서의 과거사고 및 악성코드 연관 분석 결과는 보안관제 등에 활용 또는 해당 그룹의 추가 공격을 일부 예상하거나, 효율적인 사고 조사 수행에 도움이 될 것으로 기대했다. 또한 각 금융회사 및 유관기관들과의 공유를 통해 추가적인 공격에 협력적 대응이 가능할 것으로 판단된다고 강조했다.

금융보안원은 이와 같은 피해 확산 방지를 위한 노력을 지속적으로 할 것이며, 이번 보고서를 통해 금융권 위협 대응에 많은 도움이 될 수 있기를 바란다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>