• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

북한의 라자루스, 새로운 멀웨어 들고 나타나 인도 지역 공격 2018.01.25

북한이 암호화폐 노리고 사이버 공격 행위 일삼는 것 다시 한 번 확인
왜 인도 지역일까? 사이버 스파이 행위 겸하거나 본격적 공격 전 연습일 것

[보안뉴스 문가용 기자] 북한이 전 세계 은행들을 공격하기 위해 사용해왔던 라탕크바(Ratankba) 다운로더 트로이목마가 개조되었다. 이번에 나타난 변종은 파워셸을 기반으로 하고 있으며, 은행이 아니라 소규모 금융 조직 혹은 비금융 단체나 개인을 공격한다. 목적은 암호화폐다. 보안 업체 트렌드 마이크로(Trend Micro)가 발표한 사실이다.

[이미지 = iclickart]


트렌드 마이크로의 보안 전문가 CH 레이(CH Lei), 표도르 야로슈킨(Fyodor Yarochkin), 레나트 베르메조(Lenart Bermejo), 필립 Z 린(Philippe Z. Lin), 레이저 황(Razor Huang)은 북한과 연관되어 있는 APT 그룹인 라자루스(Lazarus)를 추적했고, 그 결과 2017년 6월부터 새로운 버전의 라탕크바를 활용해 암호화폐를 훔쳐온 사실을 발견해냈다.

라탕크바 멀웨어와 라자루스의 상관관계에 대해서는 2017년 12월 보안 업체 프루프포인트(Proofpoint)가 발표했었고, 그 내용은 본지가 보도(http://www.boannews.com/media/view.asp?idx=58746&kind=1)한 바 있다. 이번 트렌드 마이크로의 보고서 내용도 크게 다르지 않다. 당시 프루프포인트는 “라자루스 그룹이 라탕크바가 노출됨에 따라 사용할 수 없게 되자 새로운 툴인 파워라탕크바(PowerRatankba)라는 툴을 개발해 사용하고 있다”고 발표했었다.

프루프포인트의 당시 보고서에는 “공격자들은 피싱 이메일을 보내 악성 문건을 다운로드 받게 유혹하거나 가짜 웹 페이지로 끌어들여 암호화폐 관련 멀웨어를 설치한다”고 나와 있는데, 이 역시 트렌드 마이크로의 이번 보고서와 동일하다. 두 보안 전문 업체가 따로따로 조사를 진행한 결과 같은 결론에 도달했다는 것이다. 또한 그 과정에서 ‘스파이 행위’가 수반된다는 것 역시 두 보고서가 동일하게 지적하고 있는 부분이다.

트렌드 마이크로는 라자루스가 사용하던 서버들을 분석해 피해자의 55%가 인도나 근접 국가에 있음을 추가로 밝혀냈다. 이는 그 지역에 대한 라자루스의 정찰활동이 심화되고 있다는 뜻이거나 아직 본격적인 공격을 실시하기 전 단계에 있다는 뜻이라고 트렌드 마이크로는 분석한다. “진짜 표적을 공격하기 전에 연습 삼아 비슷한 대상을 공격하는 건 사이버 공격자들 사이에서 흔히 나타나는 패턴입니다.”

실제로 트렌드 마이크로의 보고서에 의하면 인도인 피해자들 중 일부는 웹 소프트웨어 개발사에 근무하는 개인인데, 대한민국에서도 웹 소프트웨어 회사에 근무하는 사람을 공격했다고 트렌드 마이크로는 예시를 들었다. 피해자 중 5%만이 마이크로소프트 윈도우 엔터프라이즈 버전을 사용하고 있었는데, 이에 대해서 트렌드 마이크로는 “대기업이 공격 표적이 아니라는 뜻”으로 해석한다. 피해자에 관해서 프루프포인트는 “암호화폐 관련 조직의 임원에 대한 표적 공격이 노골적으로 증가했다”고 보고서에 적었다.

북한 정부는 세계적인 경제 제재 때문에 심각한 국고 위기를 겪고 있다고 알려져 있다. 그래서 대한민국의 암호화폐 생태계를 꾸준히 공격해온 것으로 강력하게 의심받고 있다. 그런 ‘의혹’에 트렌드 마이크로가 이번 보고서로 무게를 실은 것이고, 인도 지역의 개인과 소규모 단체를 노리고 있다는 사실이 추가로 공개됐다.

파워라탕크바 멀웨어에 대한 상세한 기술 분석 보고서는 트렌드 마이크로(https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-campaign-targeting-cryptocurrencies-reveals-remote-controller-tool-evolved-ratankba/)와 프루프포인트(https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf)에서 열람 및 다운로드가 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>