북한 추정 해커조직 A팀: 소니픽처스때 사용한 유사 악성코드 유포_ B팀: 워터링홀 공격후 해외 클라우드 서버로 탈취정보 전송_해킹팀 최신 취약점까지 악용...몇 년새 을지연습 전후로 공격 반복     [보안뉴스 김경애] 북한이 을지연습을 앞두고 비무장지대 목함지뢰로 도발하고, 사이버상에서는 우리나라를 타깃으로 끊임없이 악성코드 유포와 워터링홀 공격을 감행하고 있는 것이 포착됐다.



 ▲ 북한 추정 해커조직 B팀의 공격 흔적 포착 화면(자료제공: 이슈메이커스랩)

 

을지연습은 1968년 북한의 청와대 기습 사건 이후 매년 실시해온 정례적인 연습으로 국가비상사태에 대처하기 위해 실시하는 비상대비훈련이다. 올해는 지난 17일부터 20일까지 전국 시·군·구 이상의 행정기관과 주요 민간업체 등 약 4,000여 기관에서 48만여 명이 참가했다.

하지만 북한은 을지연습 기간을 노려 정보를 수집하거나 연습을 방해하기 위해 총력전에 나서고 있다. 최근에는 군사분계선을 침범해 비무장지대에 지뢰를 설치하는 도발로 우리 군이 피해를 입었다.

이에 박근혜 대통령은 을지연습 첫날인 지난 17일 을지 국가안전보장회의와 제1회 을지국무회의를 주재하면서 “최근 북한의 비무장지대 지뢰 도발이 불법적으로 군사분계선을 침범해서 우리 장병의 살상을 기도한 명백한 군사도발”이라며 “북한의 군사적 위협이 계속 증대되고 있는 상황에서 우리 국민의 생명과 재산을 보호하고, 한반도의 평화를 지켜내기 위해서는 확고한 안보의식과 강력한 군사대비 태세를 갖춰야 한다”고 강조한 바 있다.

소니픽처스 해킹때 사용한 악성코드 유포

이와 함께 사이버상에서도 우려했던 일이 벌어지고 있다. 지난 6월부터 8월인 최근까지 악성코드 유포행위가 포착된 것. 특히, 국내 특정 타깃을 대상으로 이메일을 통해 악성코드를 뿌리는가 하면, 국내 특정 웹사이트를 방문하는 사용자들에 대한 워터링홀 공격을 통해 악성코드를 유포한 정황이 발견됐다.

북한으로 추정되는 해커조직은 A팀과 B팀으로 구분되며, 각 팀의 역할에 따라 공격방법도 다른 것으로 분석됐다. A팀은 과거 7.7 디도스 공격과 소니픽처스 해킹 등을 감행한 조직으로 알려졌다. A팀의 움직임은 8월 초부터 중순까지 지속적으로 발견되고 있으며, 특정 타깃을 대상으로 중요 문서로 위장한 이메일을 보내 악성코드를 유포한 정황이 포착됐다. 현재까지 이들은 악성코드에 감염된 PC의 정보를 탈취해 해외 서버로 전송한 것으로 분석됐다. 특히, 유포된 악성코드는 소니픽처스 때 사용한 악성코드와 유사한 것으로 드러났다.이를 분석한 사이버전 전문추적그룹 이슈메이커스랩의 리더인 사이먼 최는 “소니픽처스 해킹 때와 유사한 악성코드는 특정 타깃을 대상으로 이메일에 첨부파일 문서로 위장해 실행파일로 보내지고 있다”며 “을지연습 전후로 정보수집을 위한 총 공세를 펼치는 것 같다”며 메일 수신시 각별한 주의를 당부했다.
 
워터링홀 공격 후, 클라우드 서버로 탈취정보 전송 
이어 B팀의 경우는 과거 3.20 사이버테러 공격주범으로 지목되고 있으며, 최근에는 보안업체 H사를 공격한 것으로 알려졌다. 이들의 활동 역시 지난 6월 말부터 8월 중순까지 지속적으로 포착되고 있으며, 워터링홀 공격 수법으로 악성코드를 유포하고 있다.



이와 관련 지난 15일에는 B팀이 사용한 국내 포털사 다음의 이메일 계정이 발견됐다. 발견된 계정은 fozk22, dd3800, tnwjd0227, plus7979, kimaqw123이다. B팀은 북한관련 사이트 등 특정 사이트를 방문한 사용자들을 대상으로 악성코드를 유포하는 워터링홀 공격 기법으로 사용자 정보를 탈취한 후, 다음 이메일 계정으로 만든 해외 클라우드 서버로 탈취한 정보를 전송한 것으로 분석되고 있다. 이 뿐만이 아니다. 이들은 해킹팀 이슈로 유출된 최신 취약점도 이용했다.이와 관련 사이먼 최는 “B팀은 해킹팀 플래시 취약점 중에서도 가장 최신 취약점(CVE-2015-5122)을 이용해 악성코드를 유포한 정황도 포착됐고, 삼성 Galaxy S6 이름으로 뮤텍스를 생성하거나 한글(.hwp) 문서 파일 등 각종 문서 파일을 수집해 해외 클라우드 서버로 전송한 정황도 발견됐다”며 “각각의 역할을 구분해 조직적으로 움직이고 있다”고 설명했다.
 
한편, 2년 전과 지난해에도 을지연습 및 UFG 연습을 전후로 북한의 사이버공격으로 추정되는 악성코드 유포 정황이 포착된 바 있다. [김경애 기자(boan3@boannews.com)]

http://www.boannews.com/) 무단전재-재배포금지>