• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

북한의 해킹 단체 잉키스퀴드, 한국의 매체 데일리NK에서 정보 수집 2021.08.20

북한 해커들의 행위가 발각됐다. 한국의 매체인 데일리NK의 웹사이트에서 악성 코드를 간헐적으로 발동시켜 정보를 수집한 것으로 보인다. 이 공격은 3월부터 6월까지 이어졌다고 한다.

[보안뉴스 문가용 기자] 북한의 APT 단체인 잉키스퀴드(InkySquid)가 한국의 매체인 데일리NK를 공격한 정황이 드러났다. 공격자들은 인터넷 익스플로러라는 브라우저에서 발견된 취약점을 익스플로잇 한 것으로 보인다. 이와 관련한 내용을 보안 업체 볼렉시티(Volexity)가 제일 처음 발견해 발표했다.

[이미지 = utoimage]


볼렉시티의 보고서에 따르면 “지난 4월부터 데일리NK 웹사이트에서 수상한 코드가 로딩되고 있었음을 발견할 수 있었다”고 한다. 악성 코드는 짧은 시간 동안만 삽입되는 것이 전부였기 때문에 발견하기가 어려웠다고 볼렉시티는 설명한다. 실제 공격이 진행된 기간은 3월부터 6월 사이인 것으로 보이며, 공격의 이러한 특징 때문에 한 달 후에나 수상한 점을 발견할 수 있었던 것이라는 것이다.

게다가 공격자들은 자신들의 악성 코드를 정상적인 코드 속에 숨기는 기법을 선보이기도 했다. 이번 데일리NK 겨냥 공격에서 이러한 목적으로 활용되었던 건 비팝업(bPopUp)이라는 자바스크립트 라이브러리였다고 한다. 이 비팝업 라이브러리는 공격자들이 삽입한 일부 코드만 제외하고 거의 대부분이 합법적/정상적이기 때문에 탐지 기술을 비껴갈 확률이 높은 것으로 나타났다. 이 악성 코드는 인터넷 익스플로러의 취약점인 CVE-2020-1380을 익스플로잇 하는 기능을 가지고 있었다.

잉키스퀴드는 APT37, 리퍼(Reaper), 스카크러프트(ScarCruft)라는 이름으로도 불리는 공격 단체로, 마이크로소프트 인터넷 익스플로러와 에지 브라우저 구버전에서 발견되고 있는 CVE-2021-26411을 익스플로잇 하는 공격을 하기도 했었다. 이 공격과 이번 데일리NK 공격 모두 인터넷 익스플로러 익스플로잇이 동원됐다는 점 외에 C&C URL이 같다는 공통점도 가지고 있다고 볼렉시티는 설명한다. 데일리NK 공격 배후에 잉퀴스쿼드 즉, 북한이 있다고 보는 이유다.

볼렉시티는 이번 공격에서 잉키스퀴드가 새롭게 제작한 멀웨어인 블루라이트(Bluelight)를 발견하기도 했다. “공격자들은 최초 침투를 위해 모의 해킹 도구인 코발트 스트라이크(Cobalit Strike)를 사용하고, 그 후 두 번째 페이로드로서 블루라이트를 투입시킨다”는 게 볼렉시티의 설명이다. 블루라이트의 주요 기능은 다양한 클라우드 서비스를 활용해 C&C 기능을 활성화시키는 것이다. 공격자들이 피해자의 시스템에 원격 접근할 수 있도록 하는 것이 블루라이트라는 것이다.

블루라이트는 오오스2(OAuth2) 인증을 수행한 뒤 원드라이브 하위에 폴더를 하나 생성한다. 이 폴더를 C&C 서버와 연결시켜 공격자들이 접근할 수 있도록 한다. 폴더는 ‘로고’나 ‘노멀’, ‘배경 테마’와 같은 이름을 하고 있다고 볼렉시티는 설명한다. 여기까지의 준비 과정이 끝나면 데이터 추출이 시작된다. 사용자 이름, IP 주소, VM 도구의 이름, OS 버전 등이 여기에 포함된다. 이 정보는 자바스크립트 객체로 변환되어 C&C로 전송된다.

이러한 정보들은 일종의 ‘정찰을 목적으로’ 수집되는 것들이다. 그 후에는 30초에 한 번씩 5분 동안 스크린샷을 캡쳐해 공격자들이 제어하는 ‘백그라운드 테마’ 폴더로 옮긴다. 파일 이름에는 인코딩이 실시된 시간이 기록된다. 이 파일은 다시 공격자들의 서버로 업로드 되는데, 이런 행위는 약 5분에 한 번씩 이뤄진다.

이번 공격은 직접적인 피해를 끼치는 것보다 북한에 대해 집중적으로 다루는 매체로부터 각종 정보를 수집하는 것이 목적이었던 것으로 보인다. 데일리NK는 북한이 불편해 할 만한 소식들을 다루는 매체로, 북한 해커들은 예전부터 이러한 단체들은 물론 탈북자들을 노리는 사이버 공격을 지속적으로 자행해 왔다.

3줄 요약
1. 한국의 대북 매체인 데일리NK, 북한의 사이버 공격에 당한 듯.
2. 지난 3~6월 사이에 여러 가지 정보가 사이트로부터 수집된 것으로 보임.
3. 공격자들은 인터넷 익스플로러의 오래된 취약점 익스플로잇 해서 침투.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>