2007년부터 6년간 국가기밀정보 탈취한 조직과 동일조직으로 밝혀져 3.20사이버테러 작전명 ‘Operation 1Mission’...사이버戰 수행 드러나
[보안뉴스 특별취재팀] 지난 3월 20일 KBS, MBC, YTN 등의 방송국과 신한은행, 농협 등 금융권을 타깃으로 대규모 사이버테러를 감행해 온 국민을 충격에 빠뜨린 해커조직의 실체가 드러나 향후 큰 파장이 예상된다.



 ▲ 6년 동안 사이버전을 수행한 악성코드 유포조직의 동일 증거(간략 버전). *이미지를 클릭하시면 더욱 상세한 버전의 그림을 볼 수 있습니다.  

이번 3.20 사이버테러의 공격주체에 대한 궁금증과 의혹이 증폭되고 있는 가운데 3.20 사이버테러를 감행한 해커조직은 현재까지 확인된 바에 따르면 지난 2007년 2월부터 우리나라를 대상으로 국가기밀정보 수집을 목적으로 하는 실질적인 사이버전을 수행해 왔던 것으로 드러났다.

특히, 3.20 사이버테러는 이들 조직이 2012년 초부터 ‘Operation 1Mission’이라는 작전명으로 치밀하게 준비해온 것으로 나타났다.

국내 사이버전 악성코드 전문 추적그룹인 ‘이슈메이커스랩’에 따르면 지난 6년 동안 국가기밀정보를 수집해온 해커조직이 이번 3.20 사이버테러를 일으킨 조직과 동일조직이라는 사실을 여러 가지 증거를 바탕으로 확인했다고 밝혔다.
 
표. 지난 6년간 사이버전 수행조직과 3.20 사이버테러 감행조직이 동일하다는 증거
   증거항목
            동일증거 내용
           비  고
동일한 16자리
압축 파일 암호 
·수집한 파일목록 압축시 사용한 동일한 암호값 
영문대소문자/숫자/특수문자를 포함한 16자리 동일한 압축암호
동일한
1차 C&C
프로토콜  
·동일한 명령제어 코드 사용 ·명령수신시 생성되는 동일한 파일명 ·정보전송시 사용되는 동일한 파일명 ·C&C 프로토콜 암호화에 사용하는 동일한 RSA 키 2쌍 -C&C 명령 복호화 키(A 개인키) -수집데이터 암호화 키(B 공개키)
·해커만 보유한 RSA 키  -C&C 명령 암호화 키 (A공개키, A개인키와 쌍) -수집 데이터 복호화 키 (B개인키, B공개키와 쌍) ·오직 해커만이 B개인키를 보유하여 수집한 데이터를 복호화 할 수 있음. (단, 2012년 말부터 일부 버전은 RC4 스트림 암호로 변경됨) 
동일한
특정 수집 키워드 및 암호화 키
수집하는 국가기밀 키워드를 암호화하는데 사용한 동일한 키 값
XTEA 암호 알고리즘 사용
개발경로
동일 조직에 의해 팀 프로젝트로 진행된 개발경로
백도어, 작전준비, 우회 등 한글경로 포함


위와 같은 증거들의 특징을 살펴보면, 지난 6년 간 사용된 악성코드가 모두 동일한 조직에 의해 만들어졌다는 것을 확인할 수 있다.

먼저 수집하는 파일목록을 압축할 때 사용하는 ‘암호값’과 해커가 명령을 제어할 때 사용하는 ‘제어코드’ 등 C&C 프로토콜이 동일하다. 특히, 해커조직이 프로토콜 암호화 통신에 RSA 암호화 알고리즘을 사용했는데, 악성코드가 공개키를 사용해 수집 데이터를 암호화했기에 개인키를 보유하고 있는 해커만이 복호화 할 수 있다. 이 때 사용한 RSA 키는 6년 동안 동일한 키 값이 사용된 것으로 확인됐다.



  ▲ 6년 동안 동일한 RSA 키 값을 사용한 해커조직 
또한, 국가기밀 키워드를 암호화하는 데 사용한 키 값이 동일하며, 이 밖에 개발경로 등이 유사한 것으로 보아 동일한 조직이 팀을 이뤄 악성코드를 개발한 것으로 파악된다.

더욱 충격적인 사실은 이 해커조직이 지난 6년 동안 우리나라를 대상으로 사이버전을 수행하면서 국가기밀정보 탈취를 시도해 왔으며, 여기에는 ‘키리졸브, 작전, 미군, Key Resolve, Warfare’ 등의 국가안보에 관련된 한글 및 영문 키워드들이 대거 포함됐다는 사실이다.



▲ 해당 키워드가 포함된 파일 수집 
이 해커조직들은 악성코드에 수집하고자 하는 키워드를 암호화해 숨겨놓은 후, 키워드가 포함된 제목의 파일들을 수집해가는 방법을 사용했던 것으로 밝혀졌다.

특히, 이번 3.20 사이버테러 준비과정에서도 키워드가 없는 악성코드와 키워드가 있는 악성코드를 기관별로 나뉘어 유포한 것으로 확인됐으며, 위와 동일한 키워드를 포함한 악성코드는 지난 2010년 초에도 국내를 대상으로 동일하게 유포됐던 것으로 드러났다.  

이 조직을 6년여 간 추적해온 이슈메이커스랩의 리더 Simon Choi 씨는 “이번 3.20 사이버테러 사건에 사용된 악성코드를 처음 본 순간 우리가 지난 6년 간 추적하며 쌓아왔던 데이터를 토대로 동일한 조직이 수행했다는 것을 알 수 있었다”며, “우리가 오랜 추적 끝에 국내를 대상으로 사이버전을 치밀하게 수행해온 악성코드 및 조직을 밝혀냈듯이 이러한 해커조직을 꾸준히 추적 및 연구할 수 있는 별도의 조직이나 센터가 필요하다는 사실이 입증된 셈”이라고 말했다. 

이번 3.20 사이버테러를 계기로 특정 해커조직에 의해 최소 6년 이상을 철저히 농락당한 국내 인터넷 환경에 대한 자성과 함께 강력한 사이버안보체계의 재정립이 요구된다.

본지는 이번 단독보도를 기점으로 특별취재팀을 꾸려 국내를 대상으로 사이버전을 수행하는 조직의 실체를 낱낱이 파헤쳐나갈 계획이다.


이슈메이커스랩(IssueMakersLab)은?
이번 해커조직의 실체를 파악한 이슈메이커스랩은 국내 백신업체의 전·현직 악성코드 분석 전문가들로 구성된 악성코드 추적 전문그룹으로 해당조직을 2008년 처음 인지한 후, 이러한 사이버전을 수행하는 해커조직 및 악성코드들을 체계적으로 추적하기 위해 만들어졌다.

이슈메이커스랩의 멤버들은 전 세계적으로 유명한 국제 해킹·보안 컨퍼런스인 블랙햇(BlackHat), 데프콘(DEFCON), CanSecWest, POC, ISEC 등에서 스피커로 발표한 바 있으며, 국제 해킹방어대회인 데프콘 CTF 본선 진출을 비롯해 국내 해킹방어대회 대상 등 다수 대회에서 수상한 경력이 있는 이 분야 최고전문가들이다.

이슈메이커스랩(IssueMakersLab) / 보안뉴스
Website: http://issuemakerslab.com/ / http://www.boannews.com/
 E-mail : contact@issuemakerslab.com / editor@boannews.com

[보안뉴스 특별취재팀(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>