남북회담 등 평화모드에도 사이버 공격은 진행중...경각심 가져야
[보안뉴스 원병철 기자] 최근 북한으로 추정되는 공격그룹의 연이은 공격으로 사이버 세상의 위협은 지속되고 있다. 다만 소니픽쳐스 해킹이나 방글라데시 은행 해킹 등 해외에서 발생한 공격은 미국 등 일부 국가나 보안기업들이 배후로 ‘북한’ 혹은 ‘북한의 공격조직’ 등 명확하게 지적했지만, 우리나라는 관련 국가라는 특수성과 사이버 공격의 특성상 공격 주체를 100% 확정할 수 없다는 이유로 그 배후를 ‘추정’만 하고 있다.
[이미지=iclickart]
특히, 북한으로 추정되는 공격그룹들의 공격이 초기에는 대부분 우리나라를 대상으로 이뤄졌기 때문에 북한의 행적을 ‘보안’으로 취급하며 국정원을 비롯해 각 기관과 보안전문기업, 보안전문가들끼리 조용히 대응해 왔다.
문제는 우리나라 보안전문가들은 공격그룹의 공격을 받으면 ‘그룹A’ 등 식별하기 위한 간단한 이름을 붙여가며 조사를 해왔는데, 소니픽쳐스 해킹사건 이후 해외의 보안기업과 보안전문가들이 공격그룹에 ‘라자루스’라는 이름을 붙여 이슈가 되면서, 이러한 ‘작명’이 유행 아닌 유행이 됐다는 점이다.
라자루스=히든코브라=평화의 수호자
2014년 11월 24일 소니픽쳐스 엔터테인먼트가 해킹 당해 직원 이메일을 포함한 개인정보, 미공개 영화 파일 등 정보가 유출됐다. 소니픽쳐스의 김정일 위원장 암살을 희화한 영화 ‘더 인터뷰’의 개봉 문제로 북한이 배후로 의심됐지만 바로 확정하지는 못했다. 공격그룹은 스스로를 ‘평화의 수호자(Guardians of Peace)’라고 불렀다.
당시 사건을 조사하던 글로벌 보안기업 연합(Novetta : 카스퍼스키, 트렌드마이크로 등)은 2016년 발간한 ‘Operation BLOCKBUSTER(블록버스터 작전)’이란 보고서를 통해 ‘라자루스(LAZARUS)’란 이름을 처음 붙였다. 라자루스는 게임 ‘디아블로(Diablo)’에 나왔던 나온 캐릭터로, 일각에서는 소니픽쳐스 해킹사건에서 나온 공격자 아이디 중에 ‘라자럭스’가 있어서 라자루스라고 지었다고 추정했다.
미국 정부는 공식적으로 북한의 사이버 작전명을 ‘히든 코브라(Hidden Cobra)’라고 불렀다. 미국 인터넷침해사고대응지원센터(US-CERT)는 대규모 디도스 봇넷의 배후에 북한 정부가 있다고 2017년 6월 공식 발표했다. 미국을 포함한 전 세계의 언론사, 금융기관, 항공우주 산업, 사회 기반 시설 등을 겨냥한 디도스 봇넷 인프라가 북한에 의해 구축된 것이라고 공식적으로 경고하고 나선 것이다.
US-CERT가 스스로 지적했듯, 보안 연구자들은 이번 보고에서 언급된 악성 행위들을 ‘라자루스(Lazarus)’와 ‘평화의 수호자(Guardians of Peace)’에 연관시켜 왔다. 올해 초, 시만텍이 31개국 은행을 대상으로 한 일련의 공격들의 배후에 라자루스가 있을 가능성이 높다고 지목해온 것도 이런 사례 중 하나다.
한편, 라자루스라는 이름은 2016년에 비로소 정해졌지만, 실질적인 활동은 2009년 7월 7일 발생한 7.7 디도스 사건부터로 알려졌다. 7월 7일부터 청와대와 국회를 비롯한 국가기관과 언론, 외환은행과 신한은행 등 금융권과 기업에 대규모의 좀비 PC(1만 8,000여대)를 이용한 디도스 공격이 발생했고, 국정원은 그 배후로 ‘북한과 그 추종세력’으로 추정했다.
김수키=킴수키=한수원 공격그룹
Kimsuky(김수키 혹은 킴수키)는 러시아의 대표적인 보안기업 ‘카스퍼스키 랩(Kaspersky Lab)’이 2013년 북한 해커의 이메일 계정을 제목으로 한 ‘Kimsukyang(김석양 혹은 김숙향)’ 보고서를 발표하면서 알려진 공격그룹이다. 한글에 익숙하지 않은 카스퍼스키 랩에서 ‘ang’를 빼고 ‘Kimsuky’로 확정된 것으로 알려졌다.
특히, 김수키는 2014년 12월 한국수력원자력(이하 한수원) 해킹사건에 사용된 악성코드와 유사한 악성코드를 사용한 것으로 알려지면서 한수원 해킹의 배후로 지목됐다.
김수키는 최근까지 활발하게 활동하고 있다. 2016년 1월 청와대를 사칭한 해킹메일 사건의 주범으로 지목됐으며, 2018년 5월 북미 정상회담을 앞두고 정보수집에 나선 것이 파악됐다. 특히, 2018년 국립외교원장을 사칭한 이메일 공격과 2018년 국회 국방위 백승주 의원 사칭 공격, 은행과 암호화폐 등 금융권을 노린 공격 등 정보수집은 물론 외화벌이에도 나선 것으로 조사됐다.
금성 121=레드 아이즈 그룹=그룹 123=스카크러프트=APT 37=리퍼=물수제비 천리마
초기에 주로 한국 혹은 한국인을 대상으로 공격에 나선 새로운 그룹도 발견됐다. 특히, 해당 공격그룹의 공격기술이나 악성코드 등이 기존 라자루스나 김수키와는 달랐기 때문에 새로운 이름을 붙였다. 문제는 비슷한 시기에 분석에 나섰던 보안기업들이 각각 이름을 붙이면서 이 공격그룹은 가장 많은 이름을 갖게 됐다.
이 공격그룹은 분석기업에 따라 금성121(Geumseong121, 이스트시큐리티), 레드 아이즈(Red Eyes, 안랩), 그룹 123(Group 123, 시스코), 스카크러프트(ScarCrurf, 카스퍼스키), APT37(파이어아이), 리퍼(Reaper, 팔로알토), 물수제비 천리마(Ricochet Chollima, 크라우드스트라이크) 등으로 불린다. 물론 분석한 기업과 분석가에 따라 세세한 사항은 조금씩 다르며, 특히 크라우드스트라이크는 라자루스가 4개의 그룹으로 이뤄져 있으며, 물수제비 천리마는 그 중 하나라고 주장하고 있다.
라자루스= 안다리엘 + 블루노로프
금융보안원은 2017년 ‘2017 사이버위협 인텔리전스 보고서’를 통해 ‘북한추정 공격그룹인 라자루스’가 조직을 분리해 ‘블루노로프(Bluenoroff)’와 ‘안다리엘(Andariel)’을 각각 조직했으며, 블루노로프는 글로벌 금융기관과 기업, 안다리엘은 국내 금융기관과 기업을 목표로 공격을 진행하고 있다고 밝혔다.
금융보안원에 따르면 2016년 2월에 알려진 방글라데시 중앙은행의 SWIFT 부정거래 사고, 폴란드 금융감독원 홈페이지를 통한 워터링홀 공격 등 글로벌 금융회사를 대상으로 진행된 공격에 대해 파이어아이, 시만텍, 카스퍼스키랩, BAE시스템스(British Aerospace Systems) 등에서 라자루스 그룹을 배후로 지목했다. 또한, 2017년 4월 카스퍼스키랩은 위에서 언급한 글로벌 금융회사에 대한 공격 배후를 라자루스 그룹과의 연관성을 갖는 새로운 위협 그룹인 블루노로프(Bluenoroff)라고 발표했다.
금융보안원은 최근 국내에서 발생한 일련의 침해사고·시도를 분석하는 과정에서 라자루스와 연관성을 가진 새로운 조직을 발견했고, 그들의 행위를 추적했다. 과거 3.20 사이버테러(Darkseoul)에 이용된 일부 악성코드와 유사점이 확인되긴 했으나 대부분의 악성코드는 새로운 형태였으며, 지난해부터 글로벌 금융회사 및 국내 금융회사 망분리 솔루션 취약점을 이용해 공격한 블루노로프 그룹의 악성코드와도 다른 코드 패턴 및 공격 방식을 가지고 있는 것을 확인했다. 따라서 2014년 전후로 라자루스 그룹이 조직 분리 등을 이유로 TTP(Tactics Techniques Procedure, 공격방식)가 다른 두개의 위협 그룹이 같은 시점에 다른 대상을 공격하고 있는 것으로 판단하였고, 해당 위협 그룹을 안다리엘(Andariel)로 명명했다.
결국은 ‘북한 추정 국가’의 공격 그룹들...이름은 큰 의미 없어
지금까지 북한으로 추정되는 국가의 사이버 공격그룹들을 소개했다. 사이버 공격을 분석하면서 얻은 정보를 바탕으로 각 국가나 보안기업, 보안전문가들이 명명한 탓에 여러 이름을 가지면서도 일부 공격에 대해서는 의견이 갈리는 탓에 정확하게 구분하는 것이 쉽지 않다. 하지만 ‘북한’ 혹은 ‘북한으로 추정되는 국가’로 지목하는 것에는 별다른 이견이 없다.
문제는 북한 혹은 북한으로 추정되는 국가의 특성상, 이들 사이버 공격그룹은 ‘민간’이 아닌 ‘국가’ 혹은 ‘국가의 지원을 받는’ 조직이기 때문에 그 구성원은 언제든지 바뀔 수 있으며, 조직별로 이동할 수도 있다는 점이다. 즉, 라자루스의 멤버가 김수키 혹은 안다리엘로 이동할 수 있으며, 공격수법이나 악성코드 또한 상호간에 혼용이 가능하다는 것이다.
이 때문에 보안전문가들은 사이버 공격그룹의 이름에만 집착하기 보다는 사건과 핵심 인물에 주력하는 것이 낫다는 의견을 제시한다. 미국이 소니픽쳐스 해킹의 배후로 북한의 라자루스를 지목하고, 주요 인물인 박진혁을 기소한 것도 같은 맥락이다. 이미 정부기관과 북한추정 공격그룹을 분석하고 있는 보안전문가들은 각 공격그룹의 핵심인물을 파악하고 있는 것으로 알려졌다.
아울러 남북정상회담과 북미회담 등 평화모드가 이어지고 있지만, 사이버상에서의 위협은 지속되고 있는 만큼 이에 대한 경각심을 높이고 보안을 강화하는 자세가 필요하다는 조언도 잊지 않았다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>