얼마 전 점프클라우드라는 디렉토리 및 IAM 서비스 업체에서 침해 사고가 발생했었다. 여러 가지 증거가 북한의 라자루스를 가리키고 있다.

[보안뉴스 문가용 기자] 최근 발생한 점프클라우드(JumpCloud) 침해 사고가 북한의 라자루스(Lazarus)의 소행이라는 주장이 나오고 있다. 라자루스가 요 몇 년 보여왔던 것처럼 돈을 벌기 위한 목적으로 이번 공격을 실시했던 것으로 보인다.


점프클라우드는 기업용 클라우드 디렉토리 서비스를 제공하는 업체로, 전 세계 18만 기업들을 고객으로 두고 있다고 한다. 알려진 점프클라우드의 고객으로는 먼데이닷컴(Monday.com), 고펀드미(GoFundMe) 등이 있다. 아이덴티티와 접근 관리(IAM) 서비스 업체 중에서는 세계 32위이며 시장 점유율 0.2%를 기록하고 있다.

지난 7월 12일 점프클라우드의 CISO 로버트 판(Robert Phan)은 블로그 게시글을 통해 “정부의 지원을 받는 고도의 위협 행위자들이 불법적으로 우리의 시스템들에 접근해 소수의 일부 고객들을 공격했다”고 알렸다. 다만 정확히 어느 나라의 공격자들인지는 확실히 알 수 없었다. 그러다가 최근 보안 업체 센티넬원(SentinelOne)의 위협 연구원인 톰 헤겔(Tom Hegel)이 “북한이다”라고 밝히면서 사람들의 궁금증이 풀렸다.

점프클라우드는 자사 침해 사고의 조사를 위해 보안 업체 크라우드스트라이크(CrowdStrike)와 협조 체계를 이뤄가는 중이다. 크라우드스트라이크 측도 로이터 통신과의 인터뷰를 통해 “라자루스 그룹의 소행”이라고 밝혔다. 크라우드스트라이크는 라자루스를 ‘래버린스천리마(Labyrinth Chollima)’라고 부르기에 인터뷰에서 그 이름을 사용했다. 보안 업체 맨디언트(Mandiant)도 많은 퍼즐 조각들을 제공하고 나섰다.

점프클라우드 침해 사고
점프클라우드 측에서 수상한 점을 제일 먼저 탐지한 건 협정 세계시(UTC) 기준 6월 27일 오후 3시 13분이다. 내부의 오케스트레이션 시스템에서였다. 추적해 보니 고도의 스피어피싱 캠페인으로부터 비롯되었음을 알 수 있었다. 실제 공격이 시작된 건 6월 22일부터였다는 것도 알아냈다. 점프클라우드 측은 “공격자들이 점프클라우드 명령 프레임워크를 겨냥하여 데이터 주입 공격을 실시했다”고 당시 밝혔다.

판은 “피해를 줄이기 위해 크리덴셜들을 다시 설정하고, 인프라를 재구축했으며, 그 외 여러 가지 위험 완화 및 보안 강화 조치를 취했다”고 자사 블로그를 통해 알렸다. “그 외에도 저희는 사건 대응 계획을 발동시켰으며, 사외 파트너사와 함께 모든 시스템과 로그를 분석했습니다. 그 시점에서 유관 기관 및 사법 기관들에 수사를 의뢰하기도 했습니다.”

조사가 계속 이어졌고, 최초로 고객 침해의 흔적이 발견된 건 UTC 7월 5일 3시 35분이었다. 점프클라우드 측은 해당 고객들에게 곧바로 이 사실을 알렸고, 모든 관리자 API 키들을 강제로 재설정했다. 다만 점프클라우드는 피해를 입은 고객들이 누구이며 얼마나 많은지는 공개하지 않고 있다. 피해 규모와 상황에 대해서도 함구하는 중이다.

왜 북한의 라자루스인가
헤겔은 공개된 침해지표 속에서 공격자들에 대한 단서를 찾아냈다고 한다. “먼저 IP 주소들부터 확인했습니다. 범인에 대한 이해도를 높이려 한 것이었습니다. 그들이 사용한 서버에 뭐가 또 들어있는지, 누가 그 서버를 소유하고 있는지 등부터 하나하나 조사했죠. 그러다가 한 IP 주소가 과거 소셜엔지니어링 공격에서 사용됐던 도메인과 연결되어 있음을 알아냈습니다. 이 소셜엔지니어링 공격은 깃허브(GitHub)가 ‘북한이 진행한 것’이라고 규정한 것이었고요.” 헤겔은 그런 식으로 공격자들의 명령 체계와 인프라를 가리고 있는 안개들을 조금씩 거둬냈다.

계속해서 사건을 들여다보니 여러 가지 디지털 지문들이 발견되기도 했다. 공격자들이 서버를 등록한 시간이나 방법, 경로와 같은 정보들이었다. “도메인과 서버들이 서로 연결되는 타이밍이나 방법, 그 외 각종 기술적 기법들, SSL 인증서, 서버에서 사용되는 소프트웨어 등 캘 수 있는 정보는 많습니다. 그러면서 공격자들에 대한 프로파일링이 진행되는 것이죠. 그리고 수많은 데이터가 북한의 그것과 맞아떨어집니다.”

암호화폐 산업을 노려
점프클라우드는 IAM 서비스 제공 업체다. 즉 여러 기업들의 아이덴티티와 접근 방법들을 관리한다는 소리다. 그러므로 해커들이 이런 회사를 공략하면, 여러 기업들에 접근할 수 있게 된다. 점프클라우드 침해 사고를 시작으로 수많은 조직들이 후속 공격에 노출된다는 뜻이다. 그렇다면 라자루스는 무엇을, 혹은 어떤 회사를 노리고 점프클라우드를 쳤을까?

일단 점프클라우드는 블로그 글을 통해 “공격자들이 무작위 살포식 공격이 아니라 고도의 표적 공격을 실시한다”고 쓴 바 있다. 게다가 헤겔은 깃허브가 공개했던 소셜엔지니어링 공격과 이번 점프클라우드의 공격 간에도 연관성이 있다고 밝혔었다. 깃허브는 “표적이 된 계정들 대다수가 블록체인, 암호화폐, 온라인 도박 분야의 기업들이었다”고 밝히기도 했었다.

북한. 표적 공격. 암호화폐. 블록체인. 그림이 그려지는 듯하다. 보안 업체 맨디언트는 “암호화폐를 노린 북한 정부의 해킹 공격이라는 것을 확신한다”고 속시원히 말한다. “암호화폐나 블록체인 분야 기업들의 크리덴셜이나 다른 접근 방법들을 점프클라우드에서 가져가려 한 것으로 보입니다. 노골적으로 돈을 노리고 실시한 공격이라고 보이며, 워낙 라자루스는 암호화폐 산업이나 각종 블록체인 플랫폼들을 계속해서 노리는 단체라 새로울 것도 없습니다.”

다만 맨디언트는 “이 공격으로 인해 점프클라우드 고객사에서 발생한 금전적 손해에 대해서는 아직까지 집계하지 못하고 있다”고 말한다. “아직 크리덴셜만 가져가고 본격적인 공격은 하지 않았을 가능성도 존재합니다. 점프클라우드를 쳐서 정보를 가져갔으니 이제 다음 단계를 준비하고 있겠죠.”

헤겔은 “시장 점유율이 1%도 되지 않는 업체를 어떻게 또 알아내서 크리덴셜을 가져갈 생각을 했는지, 암호화폐에 대한 북한 정권의 의지가 대단하다는 걸 다시 한 번 알 수 있었다”며 “우리 회사는 크지도 않고 유명하지도 않으니 해커들이 공격할 리가 없다는 생각에 대한 완벽한 반례”라고 지적한다.

3줄 요약
1. 얼마 전 발생한 점프클라우드 침해 사고, 북한 소행인 듯.
2. 특히 암호화폐 생태계를 노린 것이 분명해 보이는 공격.
3. 암호화폐를 훔치고자 하는 북한 정권의 굳은 결심은 상상 초월.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>