ISEC 2024에서 ‘2024년 실제 사례 기반 최신 APT 공격 동향’ 주제로 지니언스 문종현 이사 발표
2024년 벌어진 북한발 APT 공격 사례 및 최신 사이버 위협 동향 공유
차세대 보안 플랫폼 등으로 최신 위협 탐지하고, 전문인력 양성과 보안인력 처우 개선 필요
[보안뉴스 박은주 기자] 전 세계를 타깃으로 한 북한의 사이버 위협이 심화하는 가운데, 보안 전문가들이 모여 최신 사이버 위협과 대응 방안에 대해 논의하는 자리가 마련됐다. ISEC 2024 둘째 날, 이슈 분석 강연에서 지니언스 문종현 이사가 ‘2024년 실제사례 기반 최신 APT 공격 동향’을 주제로 발표했다.
▲ISEC 2024에서 발표하고 있는 지니언스 문종현 이사[사진=보안뉴스]
문 이사는 2024년 발생한 사례기반 APT 공격 동향과 스피어피싱 공격 및 각종 위협사례를 공유했다. 그는 2023년 개봉한 영화 ‘스마트폰을 떨어트렸을 뿐인데’를 예로 들며 “영화는 스마트폰을 분실해서 해킹당한 주인공의 일상이 위협받는 내용을 다루고 있는데, 이와 같은 일이 실제로 벌어지고 있다”고 말했다.
감염된 스마트폰, 공격자의 눈이 되다
이메일 기반 스마트폰 공격 사례를 살펴보면, 공격자는 마이크로소프트(MS)사 통신 플랫폼 스카이프(Skype)를 사칭해 메일을 보냈다. 보안기능 출시를 알리며 메일 본문에 링크를 클릭하도록 유도했다. 본문 링크는 겉보기에 MS 홈페이지 주소로 보이지만, URL 접속 코드를 분석해 보니 공격자 드롭박스에 연결돼 있었다. 이메일 발신자 이름이 ‘micro_security’로 공식 메일과 유사한 이름으로 만들어졌다.
문 이사는 “공격자가 공식 메일 주소를 몰라서가 아니라, 공식 도메인을 사용하면 검증 과정에서 적발될 수 있어 일부러 비슷한 아이디를 사용한다”고 설명했다. 이후 해당 IP를 분석한 결과 북한 해킹그룹으로 알려진 APT37이 사용한 IP와 일치했다. 해당 피싱 메일을 언어학적으로 분석한 결과 북한식 말투인 ‘되였습니다’, ‘내리적재’ 등을 발견했다.
만일 링크에 접속해 악성코드에 감염되면, 휴대폰에 저장된 메시지, 사진 등 관련 정보가 공격자 IP 클라우드로 전송된다. 스마트폰을 통해 피해자 일거수일투족이 보고되는 셈이다. 문 이사는 위 사례를 공유하며 “휴대폰이 악성코드에 감염됐지만, 사용자가 감염 사실을 알아차리지 못할 수 있다”며 “해당 앱 기능은 정상적으로 작동하면서 밑단에서 악성행위가 이뤄지기 때문”이라고 말했다.
스피어피싱 공격 고도화 ‘이메일 바꿔치기’
2024년 4월 통일단체와 회계법인이 해킹되는 사건이 발생했다. 통일단체 직원은 회계법인에서 보낸 ‘세금계산서 발행 메일’을 받았다. 평소 보안 의식이 높았던 통일단체 직원은 회계법인 측에 전화로 메일 발신 여부를 확인했고, PC에는 백신 프로그램도 설치된 상태였다. 문제는 상대적으로 보안이 허술했던 회계법인 측에 있었다. 문 이사는 “통일단체와 회계법인이 거래하고, 세금계산서를 발행하는 정상적인 업무 흐름에서 공격자가 이메일을 바꿔치기했다”고 설명했다.
네이버에서 제공하는 이메일 서비스 중 수신자가 메일을 읽기 전에 발신자가 메일을 취소할 수 있는 기능이 있다. 공격자는 사전에 획득한 회계법인 측 아이디로 접속해 통일단체에 보낸 정상 메일을 삭제하고, 악성 파일이 담긴 메일을 다시 발송하는 방식으로 메일을 바꿔치기한 것이다.
공격 메일에는 압축파일 형태로 위장한 악성 파일과 정상문서가 함께 담겨 있다. 파일을 압축하고 정상문서를 동봉하는 등의 행위는 백신 프로그램 탐지를 피하기 위한 속임수로 보인다는 게 문 이사의 설명이다. 악성파일은 PDF 아이콘 모양의 바로가기(LNK) 파일이었다. 정상 PDF 파일과 달리 아이콘 왼쪽 하단에 바로가기 파일 특유의 화살표 아이콘이 표시돼 있다. 해당 파일을 클릭하면 악성코드에 감염되며 해당 PC 정보, 계정정보 등 각종 자료가 탈취된다.
문 이사는 “메일 전송과 취소 여부를 알려주는 네이버 알림을 꼼꼼히 잘 살피는 게 중요하다”며 “마치 EDR 솔루션에서 이벤트 알림 같은 역할로 이상행위를 알아챌 수 있다”고 말했다.
최근에는 AI 등 대규모 언어모델을 사이버 공격에 활용해 언어적 한계를 극복한 공격이 자행되고 있다. 스피어피싱이 더욱 고도화될 수 있고, 딥페이크 기술 악용 사례도 여러 차례 발생했다. 문 이사는 “지난 7월 북한 측에서 AI 기술을 이용해 만든 사진으로 미국 IT 회사에 위장취업을 시도했다”고 덧붙였다.
이처럼 국경을 초월한 보안 위협이 일상적으로 벌어지고 있다. 문종현 이사는 “기존 방화벽, 백신뿐만이 아니라 EDR(Endpoint Detection & Response)이나 CTI(Cyber Threat Intelligence) 기반 최신 위협 탐지를 가시성 있게 운영해야 한다”며 “더불어 차세대 보안 플랫폼 등을 배우고 학습해 보안을 유지할 필요가 있다”고 말했다. 이를 위해 문 이사는 차세대 보안 시스템에 대한 지속적인 투자와 보안 전문가 양성 및 기존 보안인력 처우 개선이 뒷받침돼야 한다고 덧붙였다.
[박은주 기자(boan5@boannews.com)]
2024년 벌어진 북한발 APT 공격 사례 및 최신 사이버 위협 동향 공유
차세대 보안 플랫폼 등으로 최신 위협 탐지하고, 전문인력 양성과 보안인력 처우 개선 필요
[보안뉴스 박은주 기자] 전 세계를 타깃으로 한 북한의 사이버 위협이 심화하는 가운데, 보안 전문가들이 모여 최신 사이버 위협과 대응 방안에 대해 논의하는 자리가 마련됐다. ISEC 2024 둘째 날, 이슈 분석 강연에서 지니언스 문종현 이사가 ‘2024년 실제사례 기반 최신 APT 공격 동향’을 주제로 발표했다.
▲ISEC 2024에서 발표하고 있는 지니언스 문종현 이사[사진=보안뉴스]
문 이사는 2024년 발생한 사례기반 APT 공격 동향과 스피어피싱 공격 및 각종 위협사례를 공유했다. 그는 2023년 개봉한 영화 ‘스마트폰을 떨어트렸을 뿐인데’를 예로 들며 “영화는 스마트폰을 분실해서 해킹당한 주인공의 일상이 위협받는 내용을 다루고 있는데, 이와 같은 일이 실제로 벌어지고 있다”고 말했다.
감염된 스마트폰, 공격자의 눈이 되다
이메일 기반 스마트폰 공격 사례를 살펴보면, 공격자는 마이크로소프트(MS)사 통신 플랫폼 스카이프(Skype)를 사칭해 메일을 보냈다. 보안기능 출시를 알리며 메일 본문에 링크를 클릭하도록 유도했다. 본문 링크는 겉보기에 MS 홈페이지 주소로 보이지만, URL 접속 코드를 분석해 보니 공격자 드롭박스에 연결돼 있었다. 이메일 발신자 이름이 ‘micro_security’로 공식 메일과 유사한 이름으로 만들어졌다.
문 이사는 “공격자가 공식 메일 주소를 몰라서가 아니라, 공식 도메인을 사용하면 검증 과정에서 적발될 수 있어 일부러 비슷한 아이디를 사용한다”고 설명했다. 이후 해당 IP를 분석한 결과 북한 해킹그룹으로 알려진 APT37이 사용한 IP와 일치했다. 해당 피싱 메일을 언어학적으로 분석한 결과 북한식 말투인 ‘되였습니다’, ‘내리적재’ 등을 발견했다.
만일 링크에 접속해 악성코드에 감염되면, 휴대폰에 저장된 메시지, 사진 등 관련 정보가 공격자 IP 클라우드로 전송된다. 스마트폰을 통해 피해자 일거수일투족이 보고되는 셈이다. 문 이사는 위 사례를 공유하며 “휴대폰이 악성코드에 감염됐지만, 사용자가 감염 사실을 알아차리지 못할 수 있다”며 “해당 앱 기능은 정상적으로 작동하면서 밑단에서 악성행위가 이뤄지기 때문”이라고 말했다.
스피어피싱 공격 고도화 ‘이메일 바꿔치기’
2024년 4월 통일단체와 회계법인이 해킹되는 사건이 발생했다. 통일단체 직원은 회계법인에서 보낸 ‘세금계산서 발행 메일’을 받았다. 평소 보안 의식이 높았던 통일단체 직원은 회계법인 측에 전화로 메일 발신 여부를 확인했고, PC에는 백신 프로그램도 설치된 상태였다. 문제는 상대적으로 보안이 허술했던 회계법인 측에 있었다. 문 이사는 “통일단체와 회계법인이 거래하고, 세금계산서를 발행하는 정상적인 업무 흐름에서 공격자가 이메일을 바꿔치기했다”고 설명했다.
네이버에서 제공하는 이메일 서비스 중 수신자가 메일을 읽기 전에 발신자가 메일을 취소할 수 있는 기능이 있다. 공격자는 사전에 획득한 회계법인 측 아이디로 접속해 통일단체에 보낸 정상 메일을 삭제하고, 악성 파일이 담긴 메일을 다시 발송하는 방식으로 메일을 바꿔치기한 것이다.
공격 메일에는 압축파일 형태로 위장한 악성 파일과 정상문서가 함께 담겨 있다. 파일을 압축하고 정상문서를 동봉하는 등의 행위는 백신 프로그램 탐지를 피하기 위한 속임수로 보인다는 게 문 이사의 설명이다. 악성파일은 PDF 아이콘 모양의 바로가기(LNK) 파일이었다. 정상 PDF 파일과 달리 아이콘 왼쪽 하단에 바로가기 파일 특유의 화살표 아이콘이 표시돼 있다. 해당 파일을 클릭하면 악성코드에 감염되며 해당 PC 정보, 계정정보 등 각종 자료가 탈취된다.
문 이사는 “메일 전송과 취소 여부를 알려주는 네이버 알림을 꼼꼼히 잘 살피는 게 중요하다”며 “마치 EDR 솔루션에서 이벤트 알림 같은 역할로 이상행위를 알아챌 수 있다”고 말했다.
최근에는 AI 등 대규모 언어모델을 사이버 공격에 활용해 언어적 한계를 극복한 공격이 자행되고 있다. 스피어피싱이 더욱 고도화될 수 있고, 딥페이크 기술 악용 사례도 여러 차례 발생했다. 문 이사는 “지난 7월 북한 측에서 AI 기술을 이용해 만든 사진으로 미국 IT 회사에 위장취업을 시도했다”고 덧붙였다.
이처럼 국경을 초월한 보안 위협이 일상적으로 벌어지고 있다. 문종현 이사는 “기존 방화벽, 백신뿐만이 아니라 EDR(Endpoint Detection & Response)이나 CTI(Cyber Threat Intelligence) 기반 최신 위협 탐지를 가시성 있게 운영해야 한다”며 “더불어 차세대 보안 플랫폼 등을 배우고 학습해 보안을 유지할 필요가 있다”고 말했다. 이를 위해 문 이사는 차세대 보안 시스템에 대한 지속적인 투자와 보안 전문가 양성 및 기존 보안인력 처우 개선이 뒷받침돼야 한다고 덧붙였다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
