북 김수키·안다리엘 등 총동원해 방산·군·건설 분야 해킹해 기술 자료 탈취
보안 허술한 협력업체와 취약한 SW 악용한 공급망 공격...관계당국 현재 조사 중
사이버안보법 필요성 다시금 부각...북한, 무기정보 등 군사기밀 탈취에 주력
[보안뉴스 김경애 기자] 북한의 사이버 공격이 거세지고 있다. 특히 우리나라 국가안보와 직결된 군사정보와 방산 분야를 노린 해킹 공격이 지속적으로 포착되고 있어 철저한 대비가 필요하다.
[이미지=gettyimagesbank]
북한, 방산·군·건설 분야 기술 자료 탈취에 해커조직 총동원
최근에는 북한 해커조직 김수키가 방산 기업의 협력업체를 해킹해 정찰기 기술자료 등을 탈취한 것으로 알려졌다. <보안뉴스> 취재 결과, 이와 관련해 현재 관계기관이 합동으로 조사 중인 것으로 파악됐다.
앞서 지난 4월에도 북한 해커조직인 라자루스, 안다리엘, 김수키가 총동원돼 국내 방산업체 83곳을 공격해 10여곳이 해킹 피해를 입었다. 지난 7월 26일 한·미·영이 발표한 사이버 보안 권고문에서도 방산, 항공우주, 핵, 공학 관련 단체들의 주요 군사정보와 지적재산을 목표로 사이버 첩보활동을 하고 있다고 밝혔으며, 8월 5일 또 다시 발표한 사이버보안 권고문에서는 건설, 기계 분야를 노린 사이버 공격 정황을 발표한 바 있다.
특히 북한 정찰총국 산하에 있는 김수키, 안다리엘 조직이 같은 시기에 동일한 목적을 위해 집중 공격하는 등 이례적인 모습을 보이고 있다.
누리랩 최원혁 대표는 “2023년 10월, 북한의 해커조직들이 내부 구조조정을 통해 조직 간 협력과 정보 공유를 강화하고 있다는 정황이 포착됐다”며 “과거에는 북한 해커조직 내에서도 기술 교류가 제한적이었으나, 최근에는 조직 간 협력을 통해 더욱 신속하고 유연한 해킹능력을 확보했다”고 밝혔다.
방산업체보다는 보안 허술한 협력업체 타깃
과거에도 SW 취약점을 이용한 공급망 공격을 통해 중요 자료를 탈취한 바 있는 만큼 공급망 공격 대응이 더 중요해지고 있다. 또한 국가안보와 직결된 공격에 대한 효과적인 대응을 위한 사이버안보법 필요성도 부각되고 있다.
이번에 문제가 된 방산기업의 협력업체 해킹은 상대적으로 방산기업보다 규모가 작아 보안이 취약할 수 있는 점을 노린 공급망 공격의 일종이다. 게다가 협력업체 수도 상당수라 협력업체의 모니터링 및 보안관리 강화는 풀어야 할 과제로 지목되고 있다.
익명을 요청한 보안전문가는 “방산기업의 협력업체 해킹의 경우 수사를 통해 알려진 경우가 많다”며 “특히 방산 협력업체는 규모가 작은 업체들도 많아 상대적으로 보안이 취약해 해커들이 쉽게 해킹할 수 있는 만큼 중요한 군 기술 자료가 유출되지 않도록 협력업체의 보안 관리감독을 철저히 해야 한다”고 당부했다.
경기대 남궁록 교수는 “협력사 수준에 맞는 기본적인 실시간 보호 수단, 지정 담당자의 직무 교육, 임직원과 주요 권한자 보안교육, 현실적인 보안 정책과 가이드라인, 필요한 인원 중심의 정보 공유와 권한 부여 등 사업 프로세스 전 영역에서의 보안관리에 만전을 기해야 한다”며 “평소 오랜 기간 협력사 구조를 파악하고 있는 북한 해킹 위협에 대한 대비가 필요하다”고 강조했다.
SW 취약점 악용...은닉·우회·변조 공격으로 고도화
보안 SW 취약점을 노린 공격도 매우 심각하다. 북한 해커조직의 주요 공격 수법은 이메일 공격인 스피어피싱과 홈페이지 등에 악성코드를 업로드한 후 사이트 방문자를 악성코드에 감염시키는 워터링 홀 공격, 그리고 SW 취약점을 악용해 공격하는 방식 등이다.
누리랩 최원혁 대표는 “최근 북한 해커조직이 가장 자주 사용하는 공격 기법은 이메일을 통한 공격”이라며 “특히, 윈도우 시스템 대상 공격에서는 lnk 파일 형태의 악성 첨부파일을 이메일로 전송하는 방법이 가장 많이 사용되고 있다”고 밝혔다.
또한, 맥 OS를 대상으로 한 공격도 급증하는 추세다. 이들 공격은 대부분 백신 프로그램을 우회하도록 설계되어 있어 사용자가 부주의하게 이메일 첨부 파일을 실행하는 순간 시스템이 북한 해커조직의 통제 하에 놓일 위험이 크다는 게 그의 설명이다.
지난 1월에는 북한 김수키 해커조직이 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포한 바 있다. 악성코드는 홈페이지 로그인 시 사용되는 보안 인증 SW에 은닉됐으며, 홈페이지에 접속한 지자체, 공공기관, 건설기업의 업무담당자 PC가 감염됐다.
특히 보안 강화를 위해 필수로 설치해야 하는 프로그램 중 하나를 변조해 악성코드를 은닉했다. 변조된 보안 인증 SW 설치 파일이 실행되면 DLL 형태의 악성코드가 실행되고 악성코드는 백그라운드 상태에서 정보 탈취 기능을 수행했다.
지난 4월에는 북한 해커조직 안다리엘이 보안 SW 취약점을 악용해 업데이트 파일을 악성코드로 바꿔 실행하는 수법을 사용했다. 이로 인해 건설, 기계 업체 등에 원격제어 악성코드(DoraRAT)가 유포됐다. 이는 사전에 VPN 정보보안 SW 기능 중 클라이언트와 서버 간 통신 프로토콜에 존재하는 취약점을 공격에 악용한 것이다. 또한 업데이트 시 인증 절차가 미흡한 점도 노렸다.
사이버안보법과 방산보안 강화 대책 논의 필요
공급망 보안의 중요성에 이어 사이버안보법도 다시금 대두되고 있다. 중앙대 융합보안대학원 지윤석 교수는 “방산 분야는 국가안보와 직결된 정보를 다루고 있는 만큼 법적으로 관리, 감독할 수 있는 사이버안보법 제정이 필요하다”고 강조했다. 이와 함께 지 교수는 “방산 협력업체는 대부분 영세하다”며 “보안기술 도입 및 장비 구매 등에 있어 금전적 지원도 함께 논의되어야 한다”고 강조했다.
대전대 윤대엽 교수는 “사이버 해킹 위협과 함께 공급망 안보 위협이 고조되는 가운데 통합적 사이버 거버넌스 구축이 무엇보다 중요해지고 있다”며 “사이버안보법이 국정원 주도로 다시 법제화 논의가 진행되고 있지만 타국에 비해 많이 늦었다”고 지목했다.
아주대 이원태 교수는 “최근 북한의 해킹 수법이 더욱 정교해지고 고도화되는 양상에 주목해야 한다”며 “북한이 가상자산 탈취 등 금전적 이익 목적을 넘어 기밀정보, 지적재산권, 국가기밀 등 정보 탈취 중심으로 변화하고 있으며, 공급망 공격 및 주요기반시설 공격 시도가 증가하는 것도 점차 전략적 이익 확보로 공격 목적의 성격이 전환되고 있다는 걸 뜻하는 것”이라고 설명했다.
이어 이 교수는 “최근 한국뿐만 아니라 러시아, 중국 등 다른 국가로 해킹 대상을 확대하고 있으며, 이번 해킹 사건도 2016년 국방통합데이터센터 해킹, 2018년 김수키에 의한 국방부 및 방산업체 해킹, 2020년 한국항공우주산업(KAI) 해킹의 연장선”이라며 “2022년 러시아 방산업체 해킹, 2023년 러시아 군사연구소 해킹 등 일련의 러시아 국방기밀 탈취사건도 북한 해커집단의 소행으로 추정하고 있다. 이러한 북한의 군사기밀 정보 탈취 시도는 지속적으로 진화하고 있어 국제협력과 함께 고도화된 사이버 보안체계 구축이 필요하다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
보안 허술한 협력업체와 취약한 SW 악용한 공급망 공격...관계당국 현재 조사 중
사이버안보법 필요성 다시금 부각...북한, 무기정보 등 군사기밀 탈취에 주력
[보안뉴스 김경애 기자] 북한의 사이버 공격이 거세지고 있다. 특히 우리나라 국가안보와 직결된 군사정보와 방산 분야를 노린 해킹 공격이 지속적으로 포착되고 있어 철저한 대비가 필요하다.
[이미지=gettyimagesbank]
북한, 방산·군·건설 분야 기술 자료 탈취에 해커조직 총동원
최근에는 북한 해커조직 김수키가 방산 기업의 협력업체를 해킹해 정찰기 기술자료 등을 탈취한 것으로 알려졌다. <보안뉴스> 취재 결과, 이와 관련해 현재 관계기관이 합동으로 조사 중인 것으로 파악됐다.
앞서 지난 4월에도 북한 해커조직인 라자루스, 안다리엘, 김수키가 총동원돼 국내 방산업체 83곳을 공격해 10여곳이 해킹 피해를 입었다. 지난 7월 26일 한·미·영이 발표한 사이버 보안 권고문에서도 방산, 항공우주, 핵, 공학 관련 단체들의 주요 군사정보와 지적재산을 목표로 사이버 첩보활동을 하고 있다고 밝혔으며, 8월 5일 또 다시 발표한 사이버보안 권고문에서는 건설, 기계 분야를 노린 사이버 공격 정황을 발표한 바 있다.
특히 북한 정찰총국 산하에 있는 김수키, 안다리엘 조직이 같은 시기에 동일한 목적을 위해 집중 공격하는 등 이례적인 모습을 보이고 있다.
누리랩 최원혁 대표는 “2023년 10월, 북한의 해커조직들이 내부 구조조정을 통해 조직 간 협력과 정보 공유를 강화하고 있다는 정황이 포착됐다”며 “과거에는 북한 해커조직 내에서도 기술 교류가 제한적이었으나, 최근에는 조직 간 협력을 통해 더욱 신속하고 유연한 해킹능력을 확보했다”고 밝혔다.
방산업체보다는 보안 허술한 협력업체 타깃
과거에도 SW 취약점을 이용한 공급망 공격을 통해 중요 자료를 탈취한 바 있는 만큼 공급망 공격 대응이 더 중요해지고 있다. 또한 국가안보와 직결된 공격에 대한 효과적인 대응을 위한 사이버안보법 필요성도 부각되고 있다.
이번에 문제가 된 방산기업의 협력업체 해킹은 상대적으로 방산기업보다 규모가 작아 보안이 취약할 수 있는 점을 노린 공급망 공격의 일종이다. 게다가 협력업체 수도 상당수라 협력업체의 모니터링 및 보안관리 강화는 풀어야 할 과제로 지목되고 있다.
익명을 요청한 보안전문가는 “방산기업의 협력업체 해킹의 경우 수사를 통해 알려진 경우가 많다”며 “특히 방산 협력업체는 규모가 작은 업체들도 많아 상대적으로 보안이 취약해 해커들이 쉽게 해킹할 수 있는 만큼 중요한 군 기술 자료가 유출되지 않도록 협력업체의 보안 관리감독을 철저히 해야 한다”고 당부했다.
경기대 남궁록 교수는 “협력사 수준에 맞는 기본적인 실시간 보호 수단, 지정 담당자의 직무 교육, 임직원과 주요 권한자 보안교육, 현실적인 보안 정책과 가이드라인, 필요한 인원 중심의 정보 공유와 권한 부여 등 사업 프로세스 전 영역에서의 보안관리에 만전을 기해야 한다”며 “평소 오랜 기간 협력사 구조를 파악하고 있는 북한 해킹 위협에 대한 대비가 필요하다”고 강조했다.
SW 취약점 악용...은닉·우회·변조 공격으로 고도화
보안 SW 취약점을 노린 공격도 매우 심각하다. 북한 해커조직의 주요 공격 수법은 이메일 공격인 스피어피싱과 홈페이지 등에 악성코드를 업로드한 후 사이트 방문자를 악성코드에 감염시키는 워터링 홀 공격, 그리고 SW 취약점을 악용해 공격하는 방식 등이다.
누리랩 최원혁 대표는 “최근 북한 해커조직이 가장 자주 사용하는 공격 기법은 이메일을 통한 공격”이라며 “특히, 윈도우 시스템 대상 공격에서는 lnk 파일 형태의 악성 첨부파일을 이메일로 전송하는 방법이 가장 많이 사용되고 있다”고 밝혔다.
또한, 맥 OS를 대상으로 한 공격도 급증하는 추세다. 이들 공격은 대부분 백신 프로그램을 우회하도록 설계되어 있어 사용자가 부주의하게 이메일 첨부 파일을 실행하는 순간 시스템이 북한 해커조직의 통제 하에 놓일 위험이 크다는 게 그의 설명이다.
지난 1월에는 북한 김수키 해커조직이 건설 분야 직능단체 홈페이지를 통해 악성코드를 유포한 바 있다. 악성코드는 홈페이지 로그인 시 사용되는 보안 인증 SW에 은닉됐으며, 홈페이지에 접속한 지자체, 공공기관, 건설기업의 업무담당자 PC가 감염됐다.
특히 보안 강화를 위해 필수로 설치해야 하는 프로그램 중 하나를 변조해 악성코드를 은닉했다. 변조된 보안 인증 SW 설치 파일이 실행되면 DLL 형태의 악성코드가 실행되고 악성코드는 백그라운드 상태에서 정보 탈취 기능을 수행했다.
지난 4월에는 북한 해커조직 안다리엘이 보안 SW 취약점을 악용해 업데이트 파일을 악성코드로 바꿔 실행하는 수법을 사용했다. 이로 인해 건설, 기계 업체 등에 원격제어 악성코드(DoraRAT)가 유포됐다. 이는 사전에 VPN 정보보안 SW 기능 중 클라이언트와 서버 간 통신 프로토콜에 존재하는 취약점을 공격에 악용한 것이다. 또한 업데이트 시 인증 절차가 미흡한 점도 노렸다.
사이버안보법과 방산보안 강화 대책 논의 필요
공급망 보안의 중요성에 이어 사이버안보법도 다시금 대두되고 있다. 중앙대 융합보안대학원 지윤석 교수는 “방산 분야는 국가안보와 직결된 정보를 다루고 있는 만큼 법적으로 관리, 감독할 수 있는 사이버안보법 제정이 필요하다”고 강조했다. 이와 함께 지 교수는 “방산 협력업체는 대부분 영세하다”며 “보안기술 도입 및 장비 구매 등에 있어 금전적 지원도 함께 논의되어야 한다”고 강조했다.
대전대 윤대엽 교수는 “사이버 해킹 위협과 함께 공급망 안보 위협이 고조되는 가운데 통합적 사이버 거버넌스 구축이 무엇보다 중요해지고 있다”며 “사이버안보법이 국정원 주도로 다시 법제화 논의가 진행되고 있지만 타국에 비해 많이 늦었다”고 지목했다.
아주대 이원태 교수는 “최근 북한의 해킹 수법이 더욱 정교해지고 고도화되는 양상에 주목해야 한다”며 “북한이 가상자산 탈취 등 금전적 이익 목적을 넘어 기밀정보, 지적재산권, 국가기밀 등 정보 탈취 중심으로 변화하고 있으며, 공급망 공격 및 주요기반시설 공격 시도가 증가하는 것도 점차 전략적 이익 확보로 공격 목적의 성격이 전환되고 있다는 걸 뜻하는 것”이라고 설명했다.
이어 이 교수는 “최근 한국뿐만 아니라 러시아, 중국 등 다른 국가로 해킹 대상을 확대하고 있으며, 이번 해킹 사건도 2016년 국방통합데이터센터 해킹, 2018년 김수키에 의한 국방부 및 방산업체 해킹, 2020년 한국항공우주산업(KAI) 해킹의 연장선”이라며 “2022년 러시아 방산업체 해킹, 2023년 러시아 군사연구소 해킹 등 일련의 러시아 국방기밀 탈취사건도 북한 해커집단의 소행으로 추정하고 있다. 이러한 북한의 군사기밀 정보 탈취 시도는 지속적으로 진화하고 있어 국제협력과 함께 고도화된 사이버 보안체계 구축이 필요하다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
