• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정체불명의 콘니 멀웨어 공격자, 3년 간 북한 노려왔다 2017.08.09

2014년 발견되었던 다크호텔과 연관성 있는 듯...남한이 범인?
핵티비즘으로 의심...적어도 3년 간 조용히 공격 진행

[보안뉴스 문가용 기자] 아직 정체가 밝혀지지 않은 공격자가 북한의 조직들을 대상으로 사이버 공격을 지난 3년 간 조용히 진행해 왔다는 사실이 밝혀졌다. 이 공격에 동원된 건 그다지 고도화되지 않은 원격 접근 트로이목마(RAT)라고 한다. 이 멀웨어의 이름은 콘니(Konni)라고 하며 2017년 한 해 동안에만 총 세 번의 공격 캠페인이 발견되었다고 한다.

[이미지 = iclickart]


가장 최근 공격은 바로 지난 달인 7월에 발생했으며, 북한 정부가 IBMS 미사일 실험을 성공적으로 마친 직후 시점이었다. 당시 해당 실험의 성공으로 미국이 북한의 사거리 안에 들게 되었으며, 미국과 국제사회는 강경한 조치를 취하기 시작했다. 현재까지 발견된 콘니 공격은 총 5번이었다고 한다.

최근 콘니 샘플을 입수해 분석한 보안 업체 사일런스(Cylance)는 “아직 콘니 공격자들의 동기에 대해서 정확히 짚이는 건 없지만 핵티비즘의 일종으로 보인다”고 설명했다. “현재까지 분석해본 결과 2014년 있었던 다크호텔(DarkHotel) APT 공격과 관련성이 있어 보입니다. 다크호텔 공격은 업무 출장 다니는 고위 임원진들을 겨냥한 공격이었습니다. 다크호텔이 처음 발견되었을 때부터 한국어를 구사하는 자가 공격자 중에 있는 것으로 의심된 적이 있었습니다.”

다크호텔 캠페인을 제일 처음 발견한 건 또 다른 보안 업체 카스퍼스키였다. 당시 카스퍼스키는 “한국어를 구사하는 사람들이 공격자인 것으로 보인다”고 발표했으며, 이는 자동으로 “북한이 공격자다”라는 결론으로 변해 보안 업계를 떠돌았다. 하지만 다크호텔을 추가로 분석한 일부 보안 전문가들은 “공격자는 남한에 있다”라고 지적하기도 했다. 아직도 다크호텔의 정체는 정확히 밝혀진 바가 없다.

“콘니 멀웨어는 RAT의 일종이며, 아직도 계속해서 업그레이드 중에 있습니다.” 사일런스의 위협 분석 책임자인 케빈 피니긴(Kevin Finnigin)의 설명이다. “아마 지금도 추가 기능이 계속해서 개발 중에 있는 것으로 보이며, 이는 점진적으로 콘니에 접목될 것으로 보입니다.”

사일런스의 분석에 의하면 콘니는 독특하게 제작된 RAT로 기초적인 탐지방해 기능과 소셜 엔지니어링 기능, 첩보 수집 기능 등을 가지고 있다. 주로 피싱 이메일을 통해 배포되며, 북한과 관련된 소식이 저장되어 있는 것처럼 위장된 악성 문서 속에 정체를 숨긴다고 한다. “이 문서를 열면 멀웨어가 바로 실행됩니다. 물론 사용자가 알지 못하도록 배경 프로세스로서 말이죠.”

콘니가 하는 일은 무엇일까? 사일런스는 “공격 대상이 되는 조직의 네트워크 및 네트워크에 연결된 시스템들을 전부 프로파일링합니다. 이때 호스트 목록화, 스크린샷 캡쳐, 키스트로크 로깅 등의 방법을 활용하죠. 즉 정찰을 긴밀히 하는 겁니다. 그래서 정찰이 끝나고 해당 조직에 대한 이해도가 높아지면 그에 맞는 후차 공격을 감행합니다.”

한편 시스코의 탈로스 팀도 콘니 멀웨어를 추적하고 있었다. 탈로스 팀 역시 콘니의 가장 큰 특징으로 “빠른 진화”를 꼽았다. 이미 올해 초부터 콘니를 발견했던 탈로스는 블로그를 통해 “주로 북한 대사관이나 공공 기관을 노리고 있다”고 밝히기도 했다. “콘니는 최소 3년 동안 활동해온 것으로 보입니다. 그러면서 업그레이드를 쉬지 않고 있었고요. 처음에는 순수하게 정보를 훔치는 기능만 가지고 있었는데, 곧바로 RAT 기능을 탑재했고, 이제는 실행 파일과 다이내믹 라이브러리를 따로 갖춘 하나의 통합 멀웨어의 수준에까지 이르렀습니다.”

현재 버전의 콘니는 이전 버전의 콘니가 생성한 파일을 검색하기도 하는데, “아마도 같은 대상을 겨냥한 반복적인 공격을 감행하는 것으로 보인다”고 탈로스는 분석한다. 또 최근에는 콘니의 64비트 버전도 발견되었고, 분석을 어렵게 만드는 패커(packer)의 사용 흔적도 발견되었다. “그렇지만 콘니의 리버스 엔지니어링은 꽤나 간단한 일입니다. 소스코드에까지 도달하는 게 가능하다는 뜻이죠. 제우스(Zeus)나 드리덱스(Dridex) 수준의 난독화 처리 기술은 눈에 띄지 않았습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>