| [단독] 북한 추정 해커조직, 올해 을지연습에도 공격 진행형! | 2015.08.20 | ||
북한 추정 해커조직 A팀: 소니픽처스때 사용한 유사 악성코드 유포_
B팀: 워터링홀 공격후 해외 클라우드 서버로 탈취정보 전송_ ▲ 북한 추정 해커조직 B팀의 공격 흔적 포착 화면(자료제공: 이슈메이커스랩)
을지연습은 1968년 북한의 청와대 기습 사건 이후 매년 실시해온 정례적인 연습으로 국가비상사태에 대처하기 위해 실시하는 비상대비훈련이다. 올해는 지난 17일부터 20일까지 전국 시·군·구 이상의 행정기관과 주요 민간업체 등 약 4,000여 기관에서 48만여 명이 참가했다. 하지만 북한은 을지연습 기간을 노려 정보를 수집하거나 연습을 방해하기 위해 총력전에 나서고 있다. 최근에는 군사분계선을 침범해 비무장지대에 지뢰를 설치하는 도발로 우리 군이 피해를 입었다. 이에 박근혜 대통령은 을지연습 첫날인 지난 17일 을지 국가안전보장회의와 제1회 을지국무회의를 주재하면서 “최근 북한의 비무장지대 지뢰 도발이 불법적으로 군사분계선을 침범해서 우리 장병의 살상을 기도한 명백한 군사도발”이라며 “북한의 군사적 위협이 계속 증대되고 있는 상황에서 우리 국민의 생명과 재산을 보호하고, 한반도의 평화를 지켜내기 위해서는 확고한 안보의식과 강력한 군사대비 태세를 갖춰야 한다”고 강조한 바 있다. 이와 함께 사이버상에서도 우려했던 일이 벌어지고 있다. 지난 6월부터 8월인 최근까지 악성코드 유포행위가 포착된 것. 특히, 국내 특정 타깃을 대상으로 이메일을 통해 악성코드를 뿌리는가 하면, 국내 특정 웹사이트를 방문하는 사용자들에 대한 워터링홀 공격을 통해 악성코드를 유포한 정황이 발견됐다. 북한으로 추정되는 해커조직은 A팀과 B팀으로 구분되며, 각 팀의 역할에 따라 공격방법도 다른 것으로 분석됐다. A팀은 과거 7.7 디도스 공격과 소니픽처스 해킹 등을 감행한 조직으로 알려졌다. A팀의 움직임은 8월 초부터 중순까지 지속적으로 발견되고 있으며, 특정 타깃을 대상으로 중요 문서로 위장한 이메일을 보내 악성코드를 유포한 정황이 포착됐다. 현재까지 이들은 악성코드에 감염된 PC의 정보를 탈취해 해외 서버로 전송한 것으로 분석됐다. 특히, 유포된 악성코드는 소니픽처스 때 사용한 악성코드와 유사한 것으로 드러났다.
워터링홀 공격 후, 클라우드 서버로 탈취정보 전송 이어 B팀의 경우는 과거 3.20 사이버테러 공격주범으로 지목되고 있으며, 최근에는 보안업체 H사를 공격한 것으로 알려졌다. 이들의 활동 역시 지난 6월 말부터 8월 중순까지 지속적으로 포착되고 있으며, 워터링홀 공격 수법으로 악성코드를 유포하고 있다. 이와 관련 지난 15일에는 B팀이 사용한 국내 포털사 다음의 이메일 계정이 발견됐다. 발견된 계정은 fozk22, dd3800, tnwjd0227, plus7979, kimaqw123이다. B팀은 북한관련 사이트 등 특정 사이트를 방문한 사용자들을 대상으로 악성코드를 유포하는 워터링홀 공격 기법으로 사용자 정보를 탈취한 후, 다음 이메일 계정으로 만든 해외 클라우드 서버로 탈취한 정보를 전송한 것으로 분석되고 있다. 이 뿐만이 아니다. 이들은 해킹팀 이슈로 유출된 최신 취약점도 이용했다.
한편, 2년 전과 지난해에도 을지연습 및 UFG 연습을 전후로 북한의 사이버공격으로 추정되는 악성코드 유포 정황이 포착된 바 있다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
