[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)가 북한 라자루스와 관련하여 새로운 사실을 발표했다. 라자루스가 10개국이 넘는 곳의 국방 업체들의 네트워크에 침투해 민감한 데이터를 대량으로 훔쳐냈다는 것이다. 라자루스는 북한 정부가 운영하는 APT 단체로, 근 몇 년 동탄 금전적인 목표를 달성하는 것에 집중하고 있다가 최근 첩보 수집으로 활동 영역을 넓힌 것으로 보인다.
[이미지 = utoimage]
카스퍼스키에 의하면 라자루스가 훔친 데이터는 수 기가바이트에 달한다고 한다. 카스퍼스키에 의하면 “이 공격에 당한 조직 중 하나가 카스퍼스키에 도움을 의뢰하는 바람에 이 캠페인에 대해 알게 되었다”고 하며, “조사 중에 라자루스가 망분리가 되어 있는 네트워크에서조차 데이터를 빼내는 데 성공하는 것을 발견하기도 했다”고 한다.
여기에 더해 수석 보안 전문가인 바이아체슬라브 코페이체프(Vyacheslav Kopeytsev)는 “정확히 어떤 정보가 새나갔는지는 알 수 없지만, 피해 조직들의 면모를 봤을 때 라자루스가 무기 개발과 관련된 정보를 탐냈을 거라고 추측하고 있다”고 설명했다. 라자루스가 그 동안 금전적인 목표로 사이버 공격을 일삼은 것이 핵무기 개발 프로그램을 지원하기 위한 것이며, 10억 달러가 넘는 돈을 훔치는 데 성공했다는 주장이 나오는 가운데 ‘무기 개발 정보’를 훔치기 시작했다는 건 자연스러운 흐름이기도 하다.
카스퍼스키가 조사한 바에 따르면 북한이 이러한 정보를 수집하기 위해 캠페인을 시작한 건 2020년 초반부터로 보인다고 한다. 정보 수집을 위해 이들이 가장 많이 활용한 도구는 쓰레트니들(ThreatNeedle)이라는 백도어형 멀웨어이며, 라자루스는 이를 사용해 피해자 네트워크에서 횡적으로 움직일 수 있었다고 카스퍼스키는 설명한다.
최초 공격은 정교한 스피어피싱 이메일로부터 시작되었는데, 이는 북한 해킹 그룹이 자주 사용하는 전략이다. 카스퍼스키가 조사한 사건의 경우, 이메일은 조직 내 여러 임직원들에게 발송됐으며, 코로나와 관련된 새로운 소식을 포함하고 있는 것처럼 꾸며져 있었다. 발송지는 카스퍼스키에 조사를 의뢰한 조직에 소속된 의료 센터의 부센터장이었다. 내부자로서는 속을 수밖에 없도록 라자루스가 공을 들였다고 한다.
이 이메일에는 MS워드로 만들어진 문서가 하나 첨부되어 있었다. 악성 매트로가 심겨져 있던 것으로, 피해자가 이 파일을 다운로드 받아 열 경우, 추가 멀웨어가 설치되었다. 이 멀웨어는 쓰레트니들을 설치하는 기능을 가지고 있었다. 다른 거대 국방 업체가 보낸 것과 같이 만들어진 악성 이메일도 발견됐다. 코로나를 비롯해 여러 가지 ‘테마’를 가진 피싱 메일을 활용한 것으로 보인다고 카스퍼스키는 추측하고 있다.
한편 쓰레트니들은 매뉴스크립트(Manuscrypt)라고 하는 멀웨어 패밀리에 속한 백도어로 분석되었다. 이 매뉴스크립트는 암호화폐 거래소와 모바일 게임 서비스 조직들을 겨냥한 라자루스의 과거 공격에서 종종 발견된 것이기도 하다. 주로 본격적인 공격에 앞서 진행되는 최초 정찰 단계에서 주로 활용되는 것으로 알려져 있다. 이를 테면 매뉴스크립트를 통해 내부자 크리덴셜을 수집함으로써, 라자루스는 실제 침투에 성공한 뒤 횡적으로 움직이며 피해를 일으킬 수 있었다.
흥미로운 건 라자루스가 회사 망으로부터 완전히 분리되어 있으며, 인터넷과도 연결되지 않은 시스템으로부터도 데이터를 훔친 것으로 나타났다는 점이다. 어떻게 했을까? “라자루스 공격자들이 미리 훔쳐낸 크리덴셜을 가지고 관리자 워크스테이션에 침투했던 것으로 조사됐습니다. 이 관리자 워크스테이션을 통해서는 분리되어 있는 모든 망에 접속하는 게 가능했습니다. 공격자들은 라우터를 재설정 함으로써 추가 멀웨어를 OT 네트워크에 심고, 웹 인터페이스를 조작해 데이터를 빼돌렸습니다.”
카스퍼스키는 이 공격이 현재에도 진행 중이라고 경고했다. “공격자들은 무기를 훔치기로 작정한 상태입니다. 그래서 조심스럽고 꼼꼼하게 정찰을 하고, 정보를 수집해 공격을 기획합니다. 그리고 실제로 많은 정보를 이미 가져갔고요. 이들은 계속해서 피해자를 늘려갈 것으로 보이며, 공격이 성공할 경우 피해자들은 꽤나 심각한 결과를 맞이할 수도 있습니다.”
3줄 요약
1. 북한의 라자루스, 10개국 넘는 곳에서 국방 업체들의 정보 훔쳐냄.
2. 현재까지 수 기가바이트에 달하는 정보가 새나간 것으로 보임.
3. 쓰레트니들이라는 멀웨어 사용해 망분리 된 시스템에까지 접근하여 정보 가져감.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>