• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

한국 타깃 사이버공격 ‘라이플 캠페인’ 파헤치기 2017.11.28

북 추정 공격단체 안다리엘, 2015년부터 꾸준하게 국내 금융관련 기관·기업 노려
금보원, 안다리엘 공격 ‘라이플 캠페인’으로 이름 짓고 공격 방법 등 분석

[보안뉴스 원병철 기자] 북한으로 추정되는 일련의 공격 단체들은 발견한 곳에서 이름을 지어 부르기 때문에 각기 다른 이름으로 불리곤 한다. 대표적인 예가 카스퍼스키랩과 트렌드마이크로 등이 연합한 ‘Novetta’가 이름 지은 ‘라자루스(Lazarus)’다. 라자루스는 최근 미국 정부가 북한의 해킹조직 ‘히든 코브라(Hidden Cobra)’라고 명명하면서 그 정체가 공식화됐다.

▲ 라이플 캠페인 타임라인[자료=금보원]


북한의 해킹조직을 조사하는 일련의 전문가들은 북한의 해킹조직을 그 연관성에 따라 크게 2개 혹은 2개의 조직으로 구분하는 데, 금융보안원(이하 금보원)은 3개 조직(라자루스, 블루노로프, 안다리엘)으로 구분하고 있다. 특히, 금보원은 금융권을 주로 노리는 ‘안다리엘(Andariel)’에 주목하고 이들을 꾸준하게 추적해 왔다. 그리고 올해 7월 안다리엘의 공격으로 판명한 일련의 사건들을 ‘라이플 캠페인(Rifle Campaign)’이라고 이름 짓고 보고서를 발표했다.

27일 열린 ‘2017 대한민국 화이트햇 컨퍼런스’에서 금보원은 라이플 캠페인에 대한 세부사항을 공개했다. 발표자로 나선 장민창 금보원 침해위협분석팀 대리는 라이플 캠페인은 2016년 2월 I사의 코드서명 인증서 도용 악성코드에서 사용된 단어 ‘Rifle’로 이름이 붙여졌다고 설명했다.

금보원은 과거 사례와 약 50여종의 유사 변종을 확보해 연관 분석을 수행한 결과 2015년 ADEX(서울 국제 항공우주 및 방위산업 전시회) 참가 방산업체 대상 공격에 사용된 악성코드와의 유사성을 발견했으며, 2016년 2월 S사 DRM 위장 악성코드 관련 공격과의 유사성도 추가로 발견됐다. 이후 일련의 국내 침해사고를 라이플 캠페인으로 통합 식별했다.

라이플 캠페인으로 지정된 공격은 총 8개로 △DarkSeoul(3.20 사이버테러) △XEDA(방산업체 스피어피싱) △INITROY(코드서명 인증서/소스코드 탈취) △GhostRat(대기업 계열사 및 항공사) △DesertWolf(국방) △BlackSheep(국방) △VanxATM(ATM) △MayDay(금융사 노동조합/워터링 홀) 등이다.

몇 개의 캠페인을 소개하면, I사에서 탈취한 정보를 이용해 특정 학술단체 홈페이지를 공격, I사 코드서명 인증서로 서명된 악성코드를 유포한 ‘INITROY’ 캠페인은 10개 기관 19대의 PC를 감염시켰다. ‘GhostRat’ 캠페인은 M사 자산관리 솔루션 취약점을 이용해 H그룹과 S그룹(17개 계열사) 등 총 27개 회사, 14만대 PC가 감염된 사건이다. 당시 약 1TB(4aks 2,600건)의 문서가 유출됐는데, 방위산업 자료와 네트워크 전산 자료가 다수 포함되어 있었다.

가장 최근에 발생한 ‘MayDay’ 캠페인은 2017년 5월 금융회사(시중은행) 노동조합 홈페이지에 웹쉘을 업로드한 후 인덱스 페이지에 악성 스크립트를 삽입한 워터링홀 공격이었다. 당시 침해된 홈페이지가 모두 동일한 IP로, 동일 서버와 동일한 홈페이지 제작업체를 이용한 것으로 밝혀졌다.

라이플 캠페인을 조사한 금보원은 몇 가지 공통점을 밝혀냈는데, 우선 멀웨어 빌드타임을 통해 공격시간을 추측할 수 있었다. 재미있는 것은 마치 직장인처럼 오전 9시부터 11시까지 집중적으로 일한 후 점심시간인 12시 전후로 작업이 줄어들었으며, 다시 오후 4시를 기점으로 늘었다가 저녁 8시 전후로 다시 줄어들었다는 사실이다.

또한, 멀웨어 리소스 언어가 한국어 코드로 제작됐으며, 특정 문자열 변환(인코딩/디코딩)을 위한 트랜스폼 함수를 자체 제작해 사용했다는 사실을 파악했다. 안다리엘에 의해 수행된 대부분의 공격에서는 이들이 만든 것으로 추정되는 4개의 디코딩 함수(XOR 트랜스폼, FE 트랜스폼, S 트랜스폼, SUBS 트랜스폼)들이 사용됐다. 또한, 각각의 함수들로 디코딩된 결과는 다른 디코딩 함수의 입력값으로 사용되기도 했다.

장민창 대리는 안다리엘은 공격대상에 대한 철저한 조사와 전략을 세웠고, 수많은 제로데이 취약점을 이용해 공격했다고 설명했다. 또한, IP 은폐를 위해 상용 VPN 서비스를 이용하기도 했는데, VPN 소프트웨어 오류로 특정국가의 실제 IP가 노출되기도 했다고 덧붙였다.

특히, 최근 위협그룹들은 알려지지 않은 취약점을 찾거나 거점을 확보하기 위한 공격을 지속하고 있으며, 주로 경제적 이익을 목적으로 하고 있다고 강조했다. 이 때문에 안다리엘을 포함한 블로노로프와 라자루스 등 특정 그룹뿐만 아니라 중국 쪽 위협그룹 등에 대한 관심이 더욱 필요할 것이라고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>