2007년부터 6년간 국내 타깃으로 주요정보 탈취 등 사이버戰 수행
내부 침입경로 수수께끼도 풀려...국내 웹 ActiveX 모듈 통해 침입

[보안뉴스 특별취재팀] 지난 3월 20일 KBS, MBC, YTN 등의 방송국과 신한은행, 농협 등 금융권을 타깃으로 대규모 사이버테러를 감행해 온 국민을 충격에 빠뜨린 해커조직의 실체가 드러나 향후 큰 파장이 예상된다.

이번 3.20 사이버테러의 공격주체에 대한 궁금증과 의혹이 증폭되고 있는 가운데 이번 3.20 사이버테러를 감행한 해커조직은 현재까지 확인된 바에 따르면 지난 2007년부터 우리나라를 대상으로 중요정보를 탈취하는 등 실질적인 사이버전을 수행해 왔던 것으로 드러났다.

국내 사이버전 악성코드 전문 추적그룹인 ‘이슈메이커스랩’에 따르면 지난 6년 동안 추적해온 해커조직이 이번 3.20 사이버테러를 일으킨 조직과 동일조직이라는 사실을 여러 가지 증거를 바탕으로 확인한 것으로 알려졌다.

표. 지난 6년간 사이버전 수행조직과 3.20 사이버테러 조직이 동일하다는 증거

위와 같은 증거들의 특징을 살펴보면, 지난 6년 간 사용된 악성코드가 모두 동일한 조직에 의해 만들어졌다는 것을 확인할 수 있다.

먼저 수집하는 파일명을 압축할 때 사용하는 ‘암호값’과 해커가 명령을 제어할 때 사용하는 ‘제어코드’ 등 C&C 프로토콜이 동일하다. 특히, 해커조직이 프로토콜 암호화 통신에 RSA 암호화 알고리즘을 사용했는데, 악성코드가 공개키를 사용해 수집 데이터를 암호화했기에 개인키를 보유하고 있는 해커만이 복호화 할 수 있다. 이 때 사용한 RSA 키는 6년 동안 동일한 키 값이 사용된 것으로 확인됐다.

또한, 국가기밀 키워드를 암호화하는 데 사용한 키 값이 동일하며, 이 밖에 개발경로 등이 유사한 것으로 보아 동일한 조직이 팀을 이뤄 악성코드를 개발한 것으로 파악된다.

더욱 충격적인 사실은 이 해커조직이 지난 6년 동안 우리나라를 대상으로 사이버전을 수행하면서 국가기밀정보 탈취를 시도해 왔으며, 여기에는  ‘키리졸브, 작전, 미군, Key Resolve, Warfare’ 등의 국가안보에 관련된 한글 및 영문 키워드들이 대거 포함됐다는 사실이다.

이 해커조직은 악성코드에 수집하고자 하는 정보의 키워드를 암호화해 숨겨놓은 후, 키워드가 포함된 제목의 파일들을 수집해가는 방법을 사용했던 것으로 알려졌다.

특히, 이번 3.20 사이버테러 준비과정에서도 키워드가 없는 악성코드와 키워드가 포함된 악성코드를 동시에 유포시킨 것으로 확인됐으며, 위와 동일한 키워드를 포함한 악성코드는 지난 2010년 초에도 국내를 대상으로 동일하게 유포됐던 것으로 드러났다.  

또한, 3.20 전산망 사이버테러의 공격주체와 공격수법이 드러나면서 그간 수수께끼로 남아있던 내부 침입경로에 대한 의문점도 풀렸다.

그간에는 백신 업체가 피해기업에 제공한 중앙관리 솔루션의 취약점을 통해 악성코드가 내부 직원 PC로 한꺼번에 유포됐다는 내부 유포경로만 밝혀졌을 뿐 악성코드가 어떤 방법으로 피해기업 내부에 침투했는지는 여전히 풀지 못한 숙제로 남아있었다.

그러나 악성코드 전문 추적그룹인 ‘이슈메이커스랩’의 분석결과를 본지가 확인한 결과 피해기업의 내부 직원 PC를 감염시키는 데는 국내 유명 소프트웨어의 웹 ActiveX 모듈의 업데이트 파일 경로를 변조시키는 방법을 사용했던 것으로 밝혀졌다.

즉, 많은 이들이 사용하는 유명 웹 ActiveX 모듈의 업데이트 파일을 다운로드 받을 때 이용하는 파일 경로를 변조시켜 피해기업 내부 PC에 악성코드를 감염시켰던 것이다.

일반적으로 국내에 유포되는 악성코드들은 MS의 인터넷 익스플로러, 어도비 플래시, 오라클 자바 등 주로 해외 소프트웨어의 취약점을 이용해 유포하는 것이 대부분이었다. 그러나 해당조직은 오래 전부터 보안 소프트웨어를 포함해 국내의 소프트웨어를 상세히 연구·분석해 취약점을 찾아내고, 이를 악성코드 유포에 활용했던 것으로 조사됐다. 

특히, 피해기관 내부에 최초로 침투하기 위해서 주로 웹사이트 방문만으로 악성코드를 감염시킬 수 있는 ActiveX 취약점 등을 사용했다. 해당 취약점은 ActiveX의 모듈 업데이트 기능을 이용해 업데이트 파일경로를 해커가 올려놓은 악성코드 파일의 경로로 변조해 특정 웹사이트 방문시 정상파일이 아닌 악성코드 파일이 설치되도록 한 것이다. 

이후 내부 PC에서 여러 다른 PC들에게 전파하기 위해 일반 PC들에 설치된 에이전트들을 제어 및 관리하는 중앙관리 솔루션의 취약점을 이용했다. PC내 설치된 에이전트들을 업데이트하는 파일을 변조해 모든 에이전트에 악성코드를 설치하는 방법을 활용했던 것.

결국 해커조직은 최대한 많은 내부 직원 PC를 악성코드에 감염시켜 하드디스크를 파괴하기 위해 내부 모든 PC의 백신 업데이트 등을 제어·관리하는 중앙관리 솔루션의 취약점을 악용했던 셈이다. 

더욱이 악성코드에 감염된 피해기업의 내부 PC와 통신하며 명령을 내리는 역할을 한 1차 C&C(명령제어) 서버의 경우 제로보드, 그누보드, 알지보드, K보드 등의 국내 공개 웹 게시판의 취약점을 악용됐던 것으로 드러났다. 

이렇듯 방송국과 금융권의 내부 PC로 악성코드를 침입한 경로가 국내 소프트웨어의 웹 ActiveX 모듈로 드러나면서 ActiveX의 취약한 보안성 문제로 확대될 것으로 보인다.

이번 해커조직을 6년 간 추적해온 이슈메이커스랩의 리더 Simon Choi 씨는 “이번 전산망 테러를 일으킨 해커조직은 이번 사건뿐만 아니라 오래 전부터 주로 국내 소프트웨어의 취약점을 속속들이 분석해 이를 악성코드 유포경로로 활용하고 있어 국내를 타깃으로 하는 최적화된 작전을 수행하고 있다”며, “이렇듯 실제 우리나라에서 사이버전을 수행하고 있는 해당조직이 있는 만큼 이들을 꾸준히 추적 및 관리할 수 있는 전문가들의 필요성이 높아지고 있는 상황에서 이슈메이커스랩이 그 역할을 수행하는 데 앞장설 것”이라고 말했다. 

이번 3.20 사이버테러를 계기로 특정 해커조직에 의해 최소 6년 이상을 철저히 농락당한 국내 인터넷 환경에 대한 자성과 함께 사이버안보체계의 재정립을 요구하는 목소리가 커질 것으로 보인다.

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>