• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

북한의 라자루스 그룹, 화해 무드 상관없이 암호화폐 노린다 2018.01.18

아래아한글의 취약점 노리는 사이버 공격 캠페인 발견돼
“겉으로 보이는 화해 분위기는 라자루스를 멈출 수 없다”

[보안뉴스 문가용 기자] 라자루스 그룹(Lazarus Group)으로 대표되는 북한의 해커들이 계속해서 대한민국에서 거래되고 있는 암호화폐를 노리고 있다는 보고서가 발간됐다. 보안 업체 레코디드 퓨처(Recorded Future)에서 발표한 것으로, 2017년 후반에 직접 추적해서 알아낸 북한 해커들의 행보에 관해 자세히 서술되어 있다.

[이미지 = iclickart]


레코디드 퓨처는 “현재 라자루스는 잠적해있는 상태”라며 “아마도 현재 남한과 북한 사이의 올림픽 참가 이야기가 진행되고 있기 때문일 것”이라고 분석한다. “혹은 더 큰 공격을 기획 중에 있기 때문일 수도 있고, 공격을 하고 있는데 아직 발견을 못한 것일 수도 있습니다.”

하지만 레코디드 퓨처의 보안 전문가 프리실라 모리우치(Priscilla Moriuchi)는 “겉으로 보기엔 올림픽 때문에 남한과 북한의 분위기가 완화된 것처럼 보이지만 물밑에서는 분명히 공격이 진행되고 있다”고 말한다. 왜냐하면 최근 한글 워드프로세서의 CVE-2017-8291 취약점을 노린 스피어피싱 캠페인이 발견됐기 때문이다. 이 취약점은 고스트스크립트(Ghostscript)라고 불리기도 한다.

“CVE-2017-8291은 HWP 문서와 아래아한글 편집기에만 존재하는 취약점입니다만, 고스트스크립트라는 취약점의 익스플로잇 자체는 다른 제품들에서도 응용이 가능합니다.” 레코디드 퓨처는 이 점 역시 유의해서 지켜봐야 할 부분이라고 경고한다. “HWP 문서 내 엠베디드 된 포스트스크립트를 통해 문제가 발생하도록 유도하는 게 이번 캠페인에서 발견된 행위입니다. 이는 다른 제품들에서도 활용이 가능한 부분입니다.”

레코디드 퓨처는 “고스트스크립트를 노린 공격은 라자루스 그룹의 전형적인 특징이 아니”라고 말한다. “고스트스크립트 공격은 파워셸, HTA, 자비스크립트, 파이선이 대동됩니다. 라자루스 그룹의 공격에서 좀처럼 발견하기 힘든 기술적 요소들이죠. 하지만 공격 전략 자체는 라자루스의 그것과 동일합니다. 대한민국의 사회 기관들과 암호화폐 거래소를 노리고 있다는 것도 라자루스의 최근 행위들과 맞물리고요.”

고스트스크립트 공격은 스피어피싱 이메일 공격으로부터 시작된다. 레코디드 퓨처는 네 가지 종류의 스피어피싱 공격을 발견했다. “하나는 코인링크(Coinlink)의 사용자들을 표적으로 하는 공격입니다. 다른 두 개는 한국의 암호화폐 거래소에서 일하는 컴퓨터 과학자 두 명의 이력서를 활용한 것입니다. 이 두 컴퓨터 과학자는 실존 인물로서, 북한이 이력서를 어디선가 훔쳐낸 것으로 보입니다. 마지막 하나는 한국의 외교부 서포터즈 블로그에서 온 것처럼 위장한 공격입니다.”

레코디드 퓨처는 “여러 종류의 페이로드가 이번 공격에 활용되는데, 대부분 데스토버(Destover)라는 정보 탈취 멀웨어를 기반으로 하고 있는 것으로 보인다”고 설명한다. “즉 정보를 탈취하는 정찰 활동도 동시에 진행 중이라는 겁니다.” 데스토버는 2014년 발생한 소니 픽처스 해킹 사태 때에도 활용된 멀웨어로, 이 공격 역시 북한이 실시한 것이라는 게 중론이다. 고스트스크립트 공격과 라자루스 그룹을 연결시킬 수 있는 또 다른 지점인 것이다.

라자루스는 암호화폐와 관련된 사이버 공격 행위를 지속적으로 일삼아온 단체다. “2016년 초반부터 북한의 사이버 공격 행위가 돈을 목적으로 한 것으로 변하기 시작했어요. 국고를 채우기 위한 노력들이 진행된 것이죠. 당시 SWIFT라는 국제 은행 간 네트워크를 공격해 방글라데시중앙은행으로부터 8천 1백만 달러를 훔친 것도 라자루스라고 알려져 있기도 하고요.” 레코디드 퓨처의 설명이다. 2017년 12월 남한의 암호화폐 거래소인 유빗(Youbit)을 폐점하게 한 것도 라자루스의 하위 그룹인 블루노로프(BlueNoroff)라고 한다.

이에 대한민국의 암호화폐 거래소는 보안을 강화하고 있는 분위기다. 정부는 암호화폐를 규제하려고 움직이고 있다. 다른 건 몰라도 북한의 해커들에게 있어 암호화폐 거래소 해킹이 이전처럼 쉬운 일은 아니게 될 전망이다. 레코디드 퓨처는 “2018년엔 암호화폐 거래소에 대한 북한의 공격 전략이 조금은 바뀌게 될 것”이라고 내다본다. “한국의 암호화폐 거래소들이 보안을 강화함으로써 북한의 해커들은 다른 나라의 거래소들로 눈을 돌릴 수밖에 없습니다.”

레코디드 퓨처는 “남한과 북한이 겉으로 화해 분위기를 조성한다고 해도, 라자루스의 공격은 멈추지 않을 것”이라고 경고한다. “남북한의 외교적 관계와 라자루스의 활동은 관계가 없어 보입니다. 남한은 외교 절차에 기댈 것이 아니라 암호화폐 거래소의 보안 강화를 통해 이들의 공격을 막아내야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>