국가정보원, 검찰청, 경찰청, 방첩사, 사이버작전사 등 5개 기관 합동 사이버 보안 권고문 배포
북한, 지방발전 정책 공식화 이후 현대식 공장 건설 추진...우리나라 자료 탈취 사용 추정
[보안뉴스 김영명 기자] 국가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부 등 사이버안보 정보공동체(이하 정보공동체)는 북한 해킹조직이 우리나라의 건설·기계 분야를 대상으로 자행한 사이버공격의 위험성을 알리고 피해 예방 및 완화를 위해 합동 사이버 보안 권고문을 배포했다. 이번 보안 권고문에는 북한 해킹 활동에 사용된 공격 전략·기술·절차(TTPs) 및 침해지표(IoCs)를 포함하고 있다.
[이미지=gettyimagesbank]
김정은 북한 국방위원장은 올해 1월 15일에 개최한 제14기 제10차 최고인민회의에서 ‘지방발전 20×10 정책’을 공식화한 후, 매년 20개 시·군에 현대화된 공업공장 건설을 추진하고 있다. 북한의 당·군·정은 앞다퉈 정책 관철을 위해 매진하고 있으며, 북한 해킹조직도 이와 다르지 않다. 정보공동체는 건설·기계 단체 및 지방자치단체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인했다. 북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정된다.
정보공동체는 이번 사이버보안 권고문에 포함된 해킹 활동의 주체를 북한 정찰총국 산하 김수키 및 안다리엘 해킹조직으로 추정하며, 정찰총국 산하 2개 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중적으로 공격하는 것은 이례적인 것으로 철저한 대비가 필요하다고 밝혔다.
사례 1. 북한 해킹조직의 건설·기계분야 해킹 공격 사례 분석해보니
첫 번째 사례로 ‘건설분야 직능단체’ 대상 악성코드 대량 유포가 있다. 올해 1월 북한 김수키 해킹조직은 우리나라 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포했다. 악성코드는 홈페이지 로그인 시 사용되는 보안인증 소프트웨어에 은닉돼 있었으며, 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다. 분석 결과, 정상 배포 채널을 변조한 ‘공급망 공격’과 건설·설계 전문가가 자주 방문하는 홈페이지를 통해 유포하는 ‘워터링홀’이 결합된 공격으로 확인됐다.
공급망 공격이란 공격자가 소프트웨어 개발·유통 등 과정에 침입해 악성코드를 사용자 기기에 감염시키는 공격방식을 말하며, 워터링홀은 사용자가 자주 방문하는 웹사이트에 악성코드를 숨겨두고, 사용자가 해당 웹사이트 방문시 악성코드에 감염되는 형태를 의미한다.
▲북한 김수키 해킹조직의 악성코드 유포 과정[자료=정보공동체]
김수키 해킹조직의 공격 절차는
첫 번째로 공격자는 웹사이트 파일 업로드 취약점을 악용해 직능단체 홈페이지의 보안 인증 소프트웨어를 변조한 것으로 추정된다. 보안인증 소프트웨어는 홈페이지 로그인을 강화하기 위해 설치하는 5개의 필수 프로그램인데, 해커는 이 가운데 1개를 변조해 악성코드를 은닉했다.
두 번째로 사용자는 홈페이지 로그인 단계에서 변조된 보안인증 소프트웨어(NX_PRNMAN) 설치파일을 실행하게 된다. 특히 변조된 보안인증 소프트웨어는 국내 디투이노베이션(D2Innovation) 회사가 소유한 합법적인 인증서로 서명돼 있어 일부 웹브라우저·백신의 탐지를 우회할 수 있다.
세 번째로 변조된 보안인증 소프트웨어의 설치파일이 실행되면 %APPDATA% 경로에 DLL 형태의 악성코드가 실행되고, 이와 함께 정상적인 프로그램도 실행된다. 이 악성코드는 백그라운드 상태에서 정보절취 기능을 수행해 사용자는 악성행위를 인지하기 어렵다. 이 악성코드는 Go 프로그래밍 언어로 작성됐으며, 일부 보안업체는 해당 악성코드를 ‘트롤에이전트(TrollAgent)’라고 명명하기도 했다.
네 번째로 악성코드는 시스템 정보를 수집하고 사용자 화면을 캡처하는 기능을 보유하고 있으며, 네이버 웨일과 구글 크롬, 마이크로소프트 엣지 등 브라우저에 저장된 정보(자격증명·쿠키·북마크·히스토리 등)를 수집할 수 있다. 감염된 PC에 보관 중인 GPKI 인증서(행정전자서명 인증서)와 SSH 인증키, Sticky Note, 파일질라 정보를 절취하는 기능도 포함하고 있다.
▲마이터 공격 매트릭스 for Enterprise Windows(v15)[자료=정보공동체]
국정원은 “김수키 해킹조직은 유효한 디지털 인증서를 사전에 절취해 변조된 소프트웨어 파일(보안인증 소프트웨어)에 서명하고, 정상 보안인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거쳤다”고 밝혔다. 이어 “이 공격은 건설 관련 국가기관과 기업들의 접속 빈도가 높은 홈페이지를 유포 경로로 활용했고, 정보절취 악성코드에 GPKI 인증서 절취 기능이 포함된 것으로 볼 때 건설분야 공직자 해킹을 교두보 삼아 주요 건설사업 정보와 사업에 참여한 건설기업의 기술자료 절취를 시도한 것으로 추정된다”고 설명했다.
사례 2. ‘정보보안제품 취약점’ 악용해 국내 기계분야 공격
올해 4월 북한 안다리엘 해킹조직은 국내 정보보안 소프트웨어(VPN·서버보안)에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 사용했다. 이를 통해 안다리엘 해킹그룹은 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포했다.
▲북한 안다리엘의 ‘VPN SW’ 취약점 악용, 악성코드 유포 과정[자료=정보공동체]
안다리엘 해킹조직의 공격 절차 분석해보니
첫 번째로 공격자는 사전에 VPN 정보보안 소프트웨어의 기능 중 클라이언트와 서버간 통신 프로토콜에 존재하는 취약점(업데이트 시 인증 절차가 미흡)을 공격에 사용했다. 공격자는 정상 서버에서 발신한 것으로 위장된 통신패킷(HTTP)을 사용자의 PC에 전송한다. 사용자 PC의 VPN 클라이언트는 통신패킷 검증 과정 미흡으로 이를 정상 서버가 보내온 통신으로 인식하게 된다.
두 번째로 VPN 클라이언트는 정상 VPN 서버가 아닌, 공격자의 C2 서버로 업데이트 파일을 요청하게 되는데, 공격자는 C2 서버에 VPN 서버로 위장한 프로그램을 동작시켜 VPN 클라이언트를 기만한다. 이 과정에서 클라이언트 요청 및 서버 응답의 정상 여부, 업데이트 파일의 무결성 체크 등 다수의 검증 단계가 존재하나 이를 모두 우회한 것으로 확인되고 있다.
마지막으로 C2 서버에서 원격제어 악성코드를 사용자 PC에 전송하게 되고, VPN 클라이언트는 업데이트 파일로 인식하고 실행하게 된다. 국내 보안업체에서는 원격제어 악성코드를 도라랫(DoraRAT)이라고 명명하고 있다. 그 이후 C2 서버로부터 명령코드를 수신해 악성 기능을 수행한다.
▲명령코드별 주요 기능[자료=정보공동체]
국정원은 “안다리엘 공격에 사용된 원격제어 악성코드 도라랫은 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌다”며 “워터링홀 기법으로 유포하다 보니 노출 가능성이 커 기존에 고도화된 APT 공격에서 보인 악성코드 Black RAT과는 달리 최소한의 기능만 포함한 것으로 보인다”고 밝혔다.
이어 “국내 보안업체에 따르면 원격제어 악성코드 감염된 PC에서 대용량·다량의 파일 절취가 가능한 ‘파일절취형 악성코드’도 확인됐다”며 “정보공동체는 이 악성코드가 파일 용량이 매우 큰 기계설비 관련 설계도를 C2 서버로 전송하기 위해 설치된 것으로 평가하고 있다”고 설명했다. 또한 “안다리엘은 위에서 언급된 VPN 제품 외에도 서버보안 제품에 대한 취약점도 악용한 것으로 확인됐다. 안다리엘이 정보보안 제품 등 IT 관리 소프트웨어 취약점을 노리는 것은 대량 감염이 가능하고, 제품들이 기본적으로 높은 수준의 시스템 접속·관리 권한이 있기 때문”이라고 덧붙였다.
잇따른 북한 해킹그룹의 공격, 어떻게 대응해야 하나
정보공동체는 이 권고문에 소개된 북한의 해킹사례는 개인의 부주의 때문에 발생한 문제가 아닌, 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다고 설명했다. 이어 앞으로도 북한 해킹조직은 서비스·제품에 대한 취약점을 지속해서 노릴 것으로 전망되는 만큼, 기업 구성원과 함께 기업의 IT·보안 담당자의 피해 완화 노력이 중요하다고 강조했다.
대응방법으로는 먼저, 기업 구성원 대상으로 지속적인 보안교육, 특히 일반 구성원과 IT 조직을 대상으로 하는 부서별 맞춤형 교육이 필요하다. 사용자는 운영체제·응용프로그램에 대한 최신 버전을 유지하고, 백신 업데이트 및 실시간 탐지 설정으로 피해를 예방할 수 있다.
소프트웨어 배포에 대해 엄격한 승인 정책은 피해를 완화할 수 있다. 최종 배포단계에서 관리자의 인증을 거치게 되면 자동 배포단계의 취약점을 예방하는 것이 가능하다. 또한 정부의 사이버보안 권고에 관심을 두고, 본인 기업에 관계되는 제품이 있으면 즉시 제조사를 통해 조치를 받아야 한다. 일부 긴급한 사안의 경우에는 제조사가 고객사에 직접 연락을 하는 경우도 있다.
소프트웨어 공급망 보안대책은 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회가 합동으로 마련한 ‘S/W 공급망 보안 가이드라인’을 참고하면 된다. 개발자는 안전한 소프트웨어를 개발하기 위해 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발보안 가이드’를 참고할 수 있다. 마지막으로 건설·기계 등 직능단체 홈페이지 운영자는 보안관리에 지원이 필요하다면 한국인터넷진흥원(KISA)에 신청해 보안점검을 받을 수 있다.
[김영명 기자(boan@boannews.com)]
북한, 지방발전 정책 공식화 이후 현대식 공장 건설 추진...우리나라 자료 탈취 사용 추정
[보안뉴스 김영명 기자] 국가정보원과 검찰청, 경찰청, 국군방첩사령부, 사이버작전사령부 등 사이버안보 정보공동체(이하 정보공동체)는 북한 해킹조직이 우리나라의 건설·기계 분야를 대상으로 자행한 사이버공격의 위험성을 알리고 피해 예방 및 완화를 위해 합동 사이버 보안 권고문을 배포했다. 이번 보안 권고문에는 북한 해킹 활동에 사용된 공격 전략·기술·절차(TTPs) 및 침해지표(IoCs)를 포함하고 있다.
[이미지=gettyimagesbank]
김정은 북한 국방위원장은 올해 1월 15일에 개최한 제14기 제10차 최고인민회의에서 ‘지방발전 20×10 정책’을 공식화한 후, 매년 20개 시·군에 현대화된 공업공장 건설을 추진하고 있다. 북한의 당·군·정은 앞다퉈 정책 관철을 위해 매진하고 있으며, 북한 해킹조직도 이와 다르지 않다. 정보공동체는 건설·기계 단체 및 지방자치단체 공무원 대상 해킹 공격이 전년 대비 급증한 것을 확인했다. 북한이 무단 절취한 우리나라의 건설·기계 및 도시건설 분야 자료들을 공업공장 건설과 지방발전 계획에 사용할 것으로 추정된다.
정보공동체는 이번 사이버보안 권고문에 포함된 해킹 활동의 주체를 북한 정찰총국 산하 김수키 및 안다리엘 해킹조직으로 추정하며, 정찰총국 산하 2개 해킹조직이 같은 시기에 동일한 정책적 목적을 달성하기 위해 특정 분야를 집중적으로 공격하는 것은 이례적인 것으로 철저한 대비가 필요하다고 밝혔다.
사례 1. 북한 해킹조직의 건설·기계분야 해킹 공격 사례 분석해보니
첫 번째 사례로 ‘건설분야 직능단체’ 대상 악성코드 대량 유포가 있다. 올해 1월 북한 김수키 해킹조직은 우리나라 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포했다. 악성코드는 홈페이지 로그인 시 사용되는 보안인증 소프트웨어에 은닉돼 있었으며, 이로 인해 홈페이지에 접속한 지자체, 공공기관, 건설기업의 관련 업무 담당자 PC가 감염됐다. 분석 결과, 정상 배포 채널을 변조한 ‘공급망 공격’과 건설·설계 전문가가 자주 방문하는 홈페이지를 통해 유포하는 ‘워터링홀’이 결합된 공격으로 확인됐다.
공급망 공격이란 공격자가 소프트웨어 개발·유통 등 과정에 침입해 악성코드를 사용자 기기에 감염시키는 공격방식을 말하며, 워터링홀은 사용자가 자주 방문하는 웹사이트에 악성코드를 숨겨두고, 사용자가 해당 웹사이트 방문시 악성코드에 감염되는 형태를 의미한다.
▲북한 김수키 해킹조직의 악성코드 유포 과정[자료=정보공동체]
김수키 해킹조직의 공격 절차는
첫 번째로 공격자는 웹사이트 파일 업로드 취약점을 악용해 직능단체 홈페이지의 보안 인증 소프트웨어를 변조한 것으로 추정된다. 보안인증 소프트웨어는 홈페이지 로그인을 강화하기 위해 설치하는 5개의 필수 프로그램인데, 해커는 이 가운데 1개를 변조해 악성코드를 은닉했다.
두 번째로 사용자는 홈페이지 로그인 단계에서 변조된 보안인증 소프트웨어(NX_PRNMAN) 설치파일을 실행하게 된다. 특히 변조된 보안인증 소프트웨어는 국내 디투이노베이션(D2Innovation) 회사가 소유한 합법적인 인증서로 서명돼 있어 일부 웹브라우저·백신의 탐지를 우회할 수 있다.
세 번째로 변조된 보안인증 소프트웨어의 설치파일이 실행되면 %APPDATA% 경로에 DLL 형태의 악성코드가 실행되고, 이와 함께 정상적인 프로그램도 실행된다. 이 악성코드는 백그라운드 상태에서 정보절취 기능을 수행해 사용자는 악성행위를 인지하기 어렵다. 이 악성코드는 Go 프로그래밍 언어로 작성됐으며, 일부 보안업체는 해당 악성코드를 ‘트롤에이전트(TrollAgent)’라고 명명하기도 했다.
네 번째로 악성코드는 시스템 정보를 수집하고 사용자 화면을 캡처하는 기능을 보유하고 있으며, 네이버 웨일과 구글 크롬, 마이크로소프트 엣지 등 브라우저에 저장된 정보(자격증명·쿠키·북마크·히스토리 등)를 수집할 수 있다. 감염된 PC에 보관 중인 GPKI 인증서(행정전자서명 인증서)와 SSH 인증키, Sticky Note, 파일질라 정보를 절취하는 기능도 포함하고 있다.
▲마이터 공격 매트릭스 for Enterprise Windows(v15)[자료=정보공동체]
국정원은 “김수키 해킹조직은 유효한 디지털 인증서를 사전에 절취해 변조된 소프트웨어 파일(보안인증 소프트웨어)에 서명하고, 정상 보안인증 소프트웨어와 함께 유포하는 등 치밀한 준비 작업을 거쳤다”고 밝혔다. 이어 “이 공격은 건설 관련 국가기관과 기업들의 접속 빈도가 높은 홈페이지를 유포 경로로 활용했고, 정보절취 악성코드에 GPKI 인증서 절취 기능이 포함된 것으로 볼 때 건설분야 공직자 해킹을 교두보 삼아 주요 건설사업 정보와 사업에 참여한 건설기업의 기술자료 절취를 시도한 것으로 추정된다”고 설명했다.
사례 2. ‘정보보안제품 취약점’ 악용해 국내 기계분야 공격
올해 4월 북한 안다리엘 해킹조직은 국내 정보보안 소프트웨어(VPN·서버보안)에 대한 취약점을 악용해 업데이트 파일을 악성코드로 교체·실행하는 수법을 사용했다. 이를 통해 안다리엘 해킹그룹은 건설·기계업체 등에 원격제어 악성코드(DoraRAT)를 유포했다.
▲북한 안다리엘의 ‘VPN SW’ 취약점 악용, 악성코드 유포 과정[자료=정보공동체]
안다리엘 해킹조직의 공격 절차 분석해보니
첫 번째로 공격자는 사전에 VPN 정보보안 소프트웨어의 기능 중 클라이언트와 서버간 통신 프로토콜에 존재하는 취약점(업데이트 시 인증 절차가 미흡)을 공격에 사용했다. 공격자는 정상 서버에서 발신한 것으로 위장된 통신패킷(HTTP)을 사용자의 PC에 전송한다. 사용자 PC의 VPN 클라이언트는 통신패킷 검증 과정 미흡으로 이를 정상 서버가 보내온 통신으로 인식하게 된다.
두 번째로 VPN 클라이언트는 정상 VPN 서버가 아닌, 공격자의 C2 서버로 업데이트 파일을 요청하게 되는데, 공격자는 C2 서버에 VPN 서버로 위장한 프로그램을 동작시켜 VPN 클라이언트를 기만한다. 이 과정에서 클라이언트 요청 및 서버 응답의 정상 여부, 업데이트 파일의 무결성 체크 등 다수의 검증 단계가 존재하나 이를 모두 우회한 것으로 확인되고 있다.
마지막으로 C2 서버에서 원격제어 악성코드를 사용자 PC에 전송하게 되고, VPN 클라이언트는 업데이트 파일로 인식하고 실행하게 된다. 국내 보안업체에서는 원격제어 악성코드를 도라랫(DoraRAT)이라고 명명하고 있다. 그 이후 C2 서버로부터 명령코드를 수신해 악성 기능을 수행한다.
▲명령코드별 주요 기능[자료=정보공동체]
국정원은 “안다리엘 공격에 사용된 원격제어 악성코드 도라랫은 파일 업·다운로드, 명령 실행 등 단순하고 경량화된 형태로 만들어졌다”며 “워터링홀 기법으로 유포하다 보니 노출 가능성이 커 기존에 고도화된 APT 공격에서 보인 악성코드 Black RAT과는 달리 최소한의 기능만 포함한 것으로 보인다”고 밝혔다.
이어 “국내 보안업체에 따르면 원격제어 악성코드 감염된 PC에서 대용량·다량의 파일 절취가 가능한 ‘파일절취형 악성코드’도 확인됐다”며 “정보공동체는 이 악성코드가 파일 용량이 매우 큰 기계설비 관련 설계도를 C2 서버로 전송하기 위해 설치된 것으로 평가하고 있다”고 설명했다. 또한 “안다리엘은 위에서 언급된 VPN 제품 외에도 서버보안 제품에 대한 취약점도 악용한 것으로 확인됐다. 안다리엘이 정보보안 제품 등 IT 관리 소프트웨어 취약점을 노리는 것은 대량 감염이 가능하고, 제품들이 기본적으로 높은 수준의 시스템 접속·관리 권한이 있기 때문”이라고 덧붙였다.
잇따른 북한 해킹그룹의 공격, 어떻게 대응해야 하나
정보공동체는 이 권고문에 소개된 북한의 해킹사례는 개인의 부주의 때문에 발생한 문제가 아닌, 홈페이지와 정보보안 소프트웨어의 취약점으로 인해 발생했다고 설명했다. 이어 앞으로도 북한 해킹조직은 서비스·제품에 대한 취약점을 지속해서 노릴 것으로 전망되는 만큼, 기업 구성원과 함께 기업의 IT·보안 담당자의 피해 완화 노력이 중요하다고 강조했다.
대응방법으로는 먼저, 기업 구성원 대상으로 지속적인 보안교육, 특히 일반 구성원과 IT 조직을 대상으로 하는 부서별 맞춤형 교육이 필요하다. 사용자는 운영체제·응용프로그램에 대한 최신 버전을 유지하고, 백신 업데이트 및 실시간 탐지 설정으로 피해를 예방할 수 있다.
소프트웨어 배포에 대해 엄격한 승인 정책은 피해를 완화할 수 있다. 최종 배포단계에서 관리자의 인증을 거치게 되면 자동 배포단계의 취약점을 예방하는 것이 가능하다. 또한 정부의 사이버보안 권고에 관심을 두고, 본인 기업에 관계되는 제품이 있으면 즉시 제조사를 통해 조치를 받아야 한다. 일부 긴급한 사안의 경우에는 제조사가 고객사에 직접 연락을 하는 경우도 있다.
소프트웨어 공급망 보안대책은 국가정보원, 과학기술정보통신부, 디지털플랫폼정부위원회가 합동으로 마련한 ‘S/W 공급망 보안 가이드라인’을 참고하면 된다. 개발자는 안전한 소프트웨어를 개발하기 위해 한국인터넷진흥원(KISA)에서 발간한 ‘소프트웨어 개발보안 가이드’를 참고할 수 있다. 마지막으로 건설·기계 등 직능단체 홈페이지 운영자는 보안관리에 지원이 필요하다면 한국인터넷진흥원(KISA)에 신청해 보안점검을 받을 수 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
