| 북한추정 해커조직이 수행한 사이버첩보전의 실체 | 2013.09.12 |
국방·외교·통일 고위관료 등 수백명 타깃...한글 취약점 주로 이용
북한 폰트 ‘청봉체’ 사용 등 근거 여럿...탐지 어려운 이메일C&C 활용 해커조직 추적해온 최상명 팀장 “공론화해서 대응방안 모색할 것”
3.20 및 6.25 사이버테러 조직의 실체를 처음 밝혀내는 등 북한으로 추정되는 해커조직이 유포한 악성코드를 꾸준히 추적·분석해온 최상명 하우리 선행연구팀장은 “3년간 약 수백 명이 대상이 돼 정보수집 악성코드 공격을 받은 것으로 추정되며, 일부 실제 감염된 대상으로부터 기밀정보들이 외부로 유출됐다”고 밝혔다. 이는 북한으로 추정되는 사이버전 조직들이 7.7 및 3.4 디도스 대란과 3.20 및 6.25 사이버테러 등 국내 사회를 혼란시킬 목적으로 대규모 사이버테러를 일으키는 것과 동시에 국방, 통일, 외교 분야 등의 고위공직자나 유관기관 원장 등 관련 정보를 많이 보유하고 있는 대상을 타깃으로 지속적으로 사이버첩보전을 실행해 왔다는 것이 드러난 셈이다.
이들 조직은 타깃으로 삼은 대상에게 정보수집을 위한 악성코드를 감염시키기 위해 주로 한글문서 취약점을 이용해 이메일로 한글문서를 첨부파일 형태로 전달했으며, 대부분 감염 당시 패치가 존재하지 않는 제로데이 취약점을 이용했던 것으로 알려졌다. 특히, 각각의 타깃에 따른 맞춤형 이메일로 발송됐는데, 국방 관련자에게는 국방관련 행사 초청 내용 등으로, 연구기관 등에는 관련 연구논문 및 연구주제 등의 내용으로 전달돼 첨부파일을 읽도록 유도했다. 또한, 해외주재국의 대사들에게는 해당 국가의 지역 및 주제에 대한 내용으로 한글문서를 전달하는 등 악성코드 감염을 유도하기 위한 지능적인 방법을 사용했다. 해당 조직은 악성코드에 감염된 대상을 제어하기 위해 C&C(명령제어) 프로토콜로 이메일을 사용했던 것으로 분석됐다. 이메일 프로토콜을 사용할 경우 정상적인 이메일 트래픽과 구분이 어려워 네트워크 탐지 장비를 우회할 수 있으며, 특히 SSL과 같은 암호화 보안 프로토콜을 사용할 경우 탐지가 더욱 어렵다. 이를 바탕으로 이메일의 제목과 첨부파일을 통해 명령을 전달하거나 추가적인 악성코드를 전달했으며, 첨부파일을 통해 수집한 각종 기밀정보를 외부로 유출한 것으로 드러났다. 해당 조직이 악성코드를 통해 수행한 사이버첩보 활동은 △현재 작업화면 캡쳐 △키로깅 △각종 웹 브라우저에 저장된 계정 정보 수집 △하드디스크에 있는 파일목록 수집 △한글문서를 포함한 각종 문서 파일 수집 △추가 악성코드 다운로드 및 실행 등이다. 이들 조직이 북한으로 추정되는 이유에 대해 최상명 팀장은 악성코드에 사용된 암호화 기법 등이 기존에 북한 소행으로 알려진 악성코드들과 상당부분 유사하며, 개발 경로 및 이메일 프로토콜 등에 한글이 사용되는 등 한글 환경에 능숙한 점, 그리고 일부 문서에 포함된 북한 폰트인 ‘청봉체’ 등을 꼽았다. 또한, 이메일 C&C를 통해 명령을 제어하는 해커조직의 관리자 IP가 국내에서 북한의 김정일 일가를 찬양하는 게시글을 올린 IP와 일치하는 등 해커조직의 IP 대역이 주로 대남 사이버전 수행거점을 설치하고, 정보를 수집하고 있는 것으로 알려진 북한 정찰총국이 위치한 중국 동북3성(랴오닝성, 지린성, 헤이룬장성) 등에 위치하고 있다는 점이 해당 조직을 북한으로 추정하는 또 다른 이유이다. [권 준 기자(editor@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스 권 준] 지난 2011년부터 3년간 국가 주요 정부부처 및 연구기관 등을 대상으로 정보수집 등 사이버첩보 활동을 수행한 북한 추정 해커조직의 활동이 공개돼 큰 파장이 예상된다.