국방 및 우주항공 기술과 관련된 고급 정보 모아...‘히든 코브라’가 유력해 보여
[보안뉴스 문가용 기자] 얼마 전부터 구직자의 평범한 이력서처럼 보이지만, 사실은 악성 템플릿이 삽입된 문서가 항공 산업과 국방 산업 내에 돌아다니기 시작했다. 고급 정보를 수집하기 위한 공격이었다. 보안 업체 맥아피(McAfee)가 발견한 이 캠페인에는 노스스타 작전(Operation North Star)이라는 이름이 붙었다.
[이미지 = utoimage]
맥아피의 수석 에지니어인 크리스티안 비크(Christiaan Beek)는 자사 블로그를 통해 “노스스타 작전이 2017년과 2019년 맥아피가 발견한 또 다른 공격 캠페인들과 여러 가지 면에서 흡사하다”고 밝혔다. 그러면서 비크는 북한의 히든 코브라(Hidden Cobra)가 의심된다고 지목했다. 히든 코브라는 북한의 해킹 공격을 광범위하게 아우르는 용어로, 라자루스, 킴수키, 코니, APT37 등의 악성 사이버 행위들을 전부 포함한다.
맥아피의 수석 과학자인 라지 사마니(Raj Samani)는 같은 블로그를 통해 “공격자들은 표적을 정해두고 악성 문서를 전송함으로써 템플릿 주입 공격을 실시한다”고 노스스타 작전에 대해 풀이했다. MS 워드 문서의 매크로를 통해 외부 템플릿을 다운로드 받아두었다가 나중에 실행하는 공격을 말한다. 주로 구인구직과 관련된 문서나 이력서로 위장되어 있었다.
노스스타 작전은 3월 31일부터 시작된 것으로 보이며 최근까지도 이어져 왔다고 한다. 사마니는 블로그 글을 통해 미국, 유럽, 한국에서 피해가 누적되어 왔다고 밝혔다. 특히 국방과 항공 산업에서 고급 기술을 가진 인력들이 표적이 된 사례가 많았다고 한다. 로켓이나 미사일과 관련된 북한 정부의 투자가 이런 부분에서도 이뤄지고 있는 것을 볼 수 있다.
사마니에 따르면 “이런 산업에서는 구직 및 이직을 원하는 사람이 많기 때문에 이력서나 직업 관련 문의 메일은 매일처럼 주고받는 것”인데, 공격자가 이를 잘 노린 것으로 보인다.
사마니는 “이런 식의 소셜엔지니어링 기반 이메일 공격은 조직 내 임직원들이 마주하는 가장 실제적이고 큰 위협”이라고 강조했다. “지금은 코로나 장기화로 인해 경제 침체가 심각한 상황이고, 많은 사람들이 더 나은 기회를 찾아 구직 활동을 하고 있습니다. 게다가 인구 감소 현상도 무시할 수 없죠. 이 때문에 늘 일할 사람에 목마른 게 조직들의 현재 입장이거든요. 이력서는 이런 틈새를 잘 노린 미끼입니다.”
그러면서 사마니는 아무리 흔히 오고가는 문서라도 이제는 함부로 클릭해서는 안 되는 때라고 강조했다. 특히 항공 산업과 국방 산업의 경우에는 세계 최고 수준의 실력을 가졌으며 국가의 지원도 든든히 받는 해커들이 자주 노리기 때문에, 종사자들이 책임감을 가지고 첨부파일과 이메일을 열람해야 한다고도 주장했다. “보안은 공동의 책임입니다. 더 이상 한두 사람이나 팀에만 의존할 수는 없습니다.”
보안 업체 넷엔리치(Netenrich)의 CISO인 브랜든 호프만(Brandon Hoffman)은 보안 외신 SC매거진을 통해 “노스스타 작전의 공격 기법은 기술적 측면에서 매우 흥미로울 수 있지만, 전략 자체가 신박한 건 아니”라고 말했다. 그 본질은 보안 전문가들이 매일처럼 접하는 사건들과 거의 완벽히 동일하다는 설명도 덧붙였다.
비크 역시 여기에 동의한다. 고급 표적 공격이었다는 것은 분명하지만 보안 인식 제고와 피싱 방어, 엔드포인트 보호 전략으로 충분히 대처가 가능하다는 것이다. “여기에 고급 첩보 활용만 더해지면 방어가 더욱 쉬워집니다. 공격이 성공 못했을 거라고 장담할 수는 없지만, 공격자 입장에서는 작전을 펼치기가 훨씬 어려웠을 것이 분명합니다. 그리고 이는 모든 보안 사고에 통용될 수 있는 말이죠.”
3줄 요약
1. 미국, 유럽, 한국의 국방 및 우주항공 산업을 겨냥한 이력서 공격이 3월부터 진행됨.
2. 공격 방식이 2017년과 2019년에 발견된 캠페인과 매우 유사함.
3. 북한의 ‘히든 코브라’일 가능성이 농후.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>